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内 容 简 介 


Windows Server 2008 是 微软 最 新 的 服务 器 操作 系统 ， 代 表 了 下 一 代 Windows Server。 使 用 Windows Server 2008，IT 专 
业 人 员 对 其 服务 器 和 网 络 基础 结构 的 控制 能 力 更 强 ， 从 而 可 重点 关注 关键 业务 需求 。 本 书 以 Windows Server 2008 的 管理 为 
重点 ， 其 中 包括 了 Windows Server 2008 在 安装 方面 的 改进 、Windows Server Core 操作 系统 的 管理 、 服 务 器 硬件 和 软件 管理 、 
创建 和 管理 用 户 和 组 、 管 理 网 络 凭据 、 搭 建 域 环境 、 使 用 NTFS 管理 数据 、 配 置 文件 服务 器 和 分 布 式 文件 系统 、 配 置 服务 器 
系统 安全 策略 、 监 视 和 优化 系统 性 能 、 配 置 网 络 打印 机 、 远 程 桌面 和 终端 服务 的 使 用 、Hyper-V 虚拟 化 技术 、 动 态 磁盘 管理 、 
热 备 群集 服务 、 网 络 负载 均衡 和 QoS。 

本 书 在 各 个 章节 不 只 是 Windows Server 2008 功能 的 介绍 或 简单 罗列 ， 各 个 章节 都 是 先 理论 、 后 实战 的 原则 。 有 实战 目 
标 、 实 战场 景 、 实 战 中 的 服务 器 环境 以 及 在 各 个 服务 器 上 的 配置 步骤 和 配置 成 功 后 的 验证 。 让 读者 能 够 触 类 旁 通 ， 将 这 些 实 
战 中 的 场景 很 容易 的 实施 在 自己 的 企业 中 。 

本 书 光盘 是 本 书 的 亮点 ， 由 资深 系统 管理 专家 精心 录制 的 长 达 40 小 时 的 Windows Server 2008 系统 管理 视频 。 

本 书 读者 对 象 : 企业 IT 部 门 系统 管理 员 、 想 进入 IT 领域 的 大 学 生 、 想 考取 微软 新 一 代 认 证 MCITP 的 在 职 人 员 或 在 
校 学 生 。 


本 书 封面 贴 有 清华 大 学 出 版 社 防伪 标签 ， 无 标签 者 不 得 销售 。 
版 权 所 有 ， 侵 权 必 究 。 侵 权 举 报 电 话 : 010-62782989 13701121933 


图 书 在 版 编目 (CIP) 数 据 


Windows Server 2008 系统 管理 之 道 / 韩 立 刚 ， 张 辉 编 著 . 一 北京 : 清华 大 学 出 版 社 ，2009.11 
(Windows Server 2008 系统 工程 师 视频 突击 ) 
ISBN 978-7-302-21288-1 


I.W… I. @ 韩 … @ 张 … 了 H. 服务 器 一 操作 系统 (软件 )，Windows Server 2008 IV. TP316.86 


中 国 版 本 图 书馆 CIP 数据 核 字 (2009) 第 181809 号 


责任 编辑 ， 栾 大 成 

装帧 设计 : 杨 玉兰 

责任 校对 : 李 玉 薄 

责任 印 制 : 

出 版 发 行 : 清华 大 学 出 版 社 地 址 : 北京 清华 大 学 学 研 大 厦 A 座 
http://www.tup.com.cn 邮编: 100084 
社 总 机 : 010-62770175 邮购 : 010-62786544 


投稿 与 读者 服务 : 010-62776969. c-service@tup.tsinghua.edu.cn 
质量 反馈 : 010-62772015, zhiliang@tup.tsinghua.edu.cn 


当 和 所 


字 凌 污 守 蓝 旧 由 


: 全 国 新 华 书店 

: 210X280 印 张 : 36.5 字 数 : 885 千 字 

附 光盘 1 张 

: 2009 年 11 月 第 1 版 印 次 : 2009 年 11 月 第 1 次 印刷 
: 1~5000 

: 69.00 元 


章 妈 对” 瘦 及 淋 号 


本 书 如 存在 文字 不 清 、 漏 印 、 缺 页 、 倒 页 、 脱 页 等 印 装 质量 问题 ， 请 与 清华 大 学 出 版 社 出 版 部 联系 调换 。 联 系 电话 : 
010-62770177 转 3103 产品 编号 : 


前 


Windows Server 2008 是 微软 最 新 的 服务 器 操作 系统 ， 它 是 Windows Server 2003 的 升级 版 本 。 
Windows Server 2008 是 一 套 相 当 于 Windows Vista 的 服务 器 系统 ， 两 者 拥有 很 多 相同 功能 ，Vista 及 
Windows Server 2008 与 Windows XP 及 Windows Server 2003 间 存 在 相似 的 关系 。 

Microsoft Windows Server 2008 代表 了 下 一 代 Windows Server。 通 过 使 用 Windows Server 2008， 
IT 专业 人 员 对 其 服务 器 和 网 络 基础 结构 的 控制 能 力 更 强 ,从 而 可 重点 关注 关键 业务 需求 。Windows Server 
2008 通过 加 强 操作 系统 和 保护 网 络 环境 提高 了 安全 性 。 通 过 加 强 对 IT 系统 的 部 署 与 维护 ， 使 服务 器 和 应 
程序 的 合并 与 虚拟 化 更 加 简单 ; 通过 提供 直观 管理 工具 ，Windows Server 2008 还 为 IT 专业 人 员 提 供 了 
灵活 性 。Windows Server 2008 为 任何 组 织 的 服务 器 和 网 络 基 础 结构 蔓 定 了 良好 的 基础 。 

Microsoft Windows Server 2008 用 于 在 虚拟 化 工作 负载 、 支 持 应 用 程序 和 保护 网 络 方面 向 组 织 提供 了 
高 效 的 平台 。 它 为 开发 和 可 靠 地 承载 Web 应 用 程序 和 服务 提供 了 一 个 安全 、 易 于 管理 的 平台 。 从 工作 组 到 
数据 中 心 ，Windows Server 2008 提供 了 许多 有 价值 的 新 功能 ， 同 时 对 基本 操作 系统 作 了 重大 改进 。 

本 书 以 Windows Server 2008 的 管理 为 重点 ， 其 中 包括 Windows Server 2008 在 安装 方面 的 改进 、 
Windows Server Core 操作 系统 的 管理 、 服 务 器 硬件 和 软件 管理 、 创 建 及 管理 用 户 和 组 、 管 理 网 络 凭据 、 
搭建 域 环境 、 使 用 NTFS 管理 数据 、 配 置 文件 服务 器 和 分 布 式 文件 系统 、 配 置 服务 器 系统 安全 策略 、 监 视 
和 优化 系统 性 能 、 配 置 网 络 打印 机 、 远 程 桌 面 和 终端 服务 的 使 用 、Hyper-V 虚拟 化 技术 、 动 态 磁盘 管理 、 
双 机 热 备 群集 服务 、 网 络 负载 均衡 和 QoS。 

本 书 不 只 是 Windows Server 2008 功能 的 介绍 或 简单 罗列 ， 各 个 章节 都 按 先 理论 、 后 实战 的 原则 ， 有 
实战 目标 ， 实 战场 景 ， 实 战 中 的 服务 器 环境 ， 以 及 在 各 个 服务 器 上 的 配置 步骤 ， 以 及 配置 成 功 后 的 验证 ， 
从 而 让 读者 能 够 触 类 旁 通 ， 将 这 些 实战 中 的 场景 很 容易 地 实施 到 自己 的 企业 中 。 


内 容 简 介 
第 1 章 Windows Server 2008 技术 概述 


从 更 强 的 控制 能 力 、 增 强 的 保护 和 更 大 的 灵活 性 三 个 角度 介绍 了 Windows Server 2008 的 新 增 功能 。 
第 2 章 安装 Windows Server 2008 


Windows Server 2008 版 本 介绍 ，Windows Server 2008 在 安装 方面 的 改进 。 激 活 Windows Server 
2008。 


第 3 章 配置 Windows Server 2008 环境 


本 章 讲解 了 Windows Server 的 新 概念 : 角色 和 功能 、 管 理 计 算 机 硬件 和 软件 环境 、 配 置 反 间 谍 软 件 、 
定义 用 户 桌 面 环境 、 配 置 网 络 中 心 以 及 网 络 排 错 工具 介绍 。 


@ Windows Server 2008 ES 


第 4 章 管理 本 地 户 和 组 


我 们 可 以 使 用 Windows Server 图 形 界面 的 管理 工具 管理 Windows Server Core 上 的 用 户 和 组 。 管理 
访问 其 他 服务 器 的 凭据 ， 管 理 存储 的 账户 ， 使 用 用 户 账户 控制 保护 系统 安全 。 


第 5 章 Windows Server 2008 活动 目录 


本 章 介绍 了 计算 机 的 两 种 组 织 形式 : 域 和 工作 组 。 搭 建 域 环境 实现 计算 机 和 用 户 的 集中 管理 和 用 户 的 
集中 身份 验证 。 根 据 管 理 的 需要 设计 组 织 单 位 ， 介 绍 在 域 中 使 用 组 的 策略 。 


第 6 章 利用 NTFS 管理 数据 


NTFS 分 区 和 FAT32 分 区 的 区 别 ， 将 FAT32 分 区 转化 成 NTFS 分 区 ， 利 用 NTFS 权限 控制 对 数据 的 
访问 ， 利 用 EFS 加 密 数据 ， 在 NTFS 分 区 上 压缩 数据 ， 配 置 NTFS 分 区 上 的 磁盘 限额 ， 配 置 卷 影 副 本 。 


第 7 章 搭建 文件 服务 器 

创建 共享 和 隐 仿 共享， 能够 访问 共享 文件 夹 、 隐 含 共享 以 及 默认 共享 ， 使 用 DFS 逻辑 上 整合 数据 以 及 
实现 数据 的 元 余 。 安 装 文件 服务 角色 ， 控 制 文件 夹 存放 的 数据 类 型 。 实 现 文件 夹 大 小 控制 。 

第 8 章 监视 和 优化 性 能 


利用 日 志 监控 系统 出 现 的 错误 或 敬告， 使 用 任务 管理 器 监控 计算 机 内 存 和 CPU 的 使 用 情况 ， 使 用 性 能 
计数 器 监控 计算 机 特定 的 性 能 指标 ， 跟 踪 服 务 器 性 能 ， 找 到 服务 器 的 性 能 瓶颈 。 


第 9 章 Windows Server 2008 安全 策略 


通过 配置 本 地 安全 策略 ， 可 以 加 固 服务 器 安全 。 从 以 下 几 个 方面 配置 服务 器 安全 : 账户 策略 ， 审 核 策 
略 ， 用 户 权限 分 配 ， 安 全 选项 ， 软 件 限制 策略 ， 高 级 Windows 防火 墙 。 


第 10 章 配置 打印 功能 


在 打印 服务 器 上 添加 打印 机 驱动 ， 共 享 打 印 机 ， 设 置 打印 池 ， 打 印 机 优先 级 ， 配 置 打 印 机 使 用 权限 ， 以 
及 打印 作业 存放 位 置 ， 在 客户 端 连接 打印 服务 器 共享 的 打印 机 。 


第 11 章 磁盘 管理 


利用 动态 磁 答 可 以 创建 条 带 卷 (RAID-0), 镜像 卷 (RAID-0) 以 及 RAID-5。 其 中 RAID-0 和 RAID-5 有 容 
错 能 力 ，RAID-0 有 很 好 的 读 写 性 能 。 


第 12 章 终端 服务 
终端 服务 和 远程 桌面 区 别 , 在 终端 服务 上 配置 RemoteApp, 配置 终端 服务 网 关 , 配置 TS Session Broke。 
第 13 章 Windows Server 虚拟 化 


Windows Server 2008 64 位 操作 系统 内 置 Hyper-V， 安 装 Hyper-V， 在 虚拟 机 中 安装 操作 系统 ， 创 建 
差异 磁盘 ， 创 建 快照 ， 管 理 Hyper-V 的 网 络 。 


第 14 章 高 可 用 群集 和 QoS 


介绍 网 络 负载 平衡 技术 的 应 用 场景 ， 配 置 网 络 负载 平衡 和 验证 网 络 负载 平衡 。 在 Windows Server 配 
置 QoS 策略 限制 拷贝 文件 占用 的 网 络 带 宽 。 


[III1 


第 15 章 故障 转移 群集 


本 章 内 容 包括 : 安装 和 配置 虚拟 存储 ， 配 置 Windows Server 2008 使 用 iSCSI， 配置 心跳 线 ， 安 装 故 
障 转移 群集 ， 确 定 仲裁 磁盘 ， 配 置 文件 服务 器 双 节 点 群集 。 
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Windows Server 2008 可 以 在 虚拟 化 工作 负载 、 

支持 应 用 程序 和 保护 网 络 方面 向 组 织 提 供 高 效 的 平 上 全 关键 词 

台 。 它 为 开发 和 可 靠 地 承载 Web 应 用 程序 和 服务 提供 简介 

了 一 个 安全 、 易 于 管理 的 平台 。 从 工作 组 到 数据 中 心 ， 虚拟 化 

Windows Server 2008 提供 了 许多 很 有 价值 的 新 功能 ， 专员 和 应 用 平台 

同时 对 基本 操作 系统 作 了 重大 改进 。 本 章 将 从 以 下 三 服务 器 管理 

个 角度 介绍 Windows Server 2008 的 新 功能 。 服务 器 核心 

”更 强 的 控制 能 力 。 通 过 使 用 Windows Server Windows Server 2008 打印 管理 

2008，IT 专业 人 员 能 够 更 好 地 控制 服务 器 和 网 安全 和 策略 实施 
络 基 础 结构 ， 从 而 可 将 精力 集中 在 处 理 关 键 业 集中 式 应 用 程序 访问 
务 需求 上 。 对 分 支 机 构 的 支持 
增强 的 保护 .Windows Server 2008 提供 了 一 系 高 可 用 
列 新 的 和 改进 的 安全 技术 ， 这 些 技术 增强 了 对 

系统 的 保护 ， 为 企业 的 运营 和 发 展 葛 定 了 

实 的 基础 。 

i 大 的 灵活 性 .Windows Server 2008 的 设计 允 

许 管理 员 修 改 其 基础 结构 以 适应 不 断 变化 的 业 

需求 ， 同 时 保持 了 此 操作 的 灵活 性 。 
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图 1-1 Windows Server 2008 新 增 功能 
1. 更 强 的 控制 


通过 使 用 Windows Server 2008，IT 专业 人 员 能 够 更 好 地 控制 服务 器 和 网 络 基础 结构 ， 从 而 可 将 精力 
集中 在 处 理 关 键 业务 需求 上 。 其 增强 的 脚本 编写 功能 和 任务 自动 化 功能 (例如 ，Windows PowerShell) 可 帮 
助 开 专业 人 员 自 动 执 行 常见 任务 。 通 过 服务 器 管理 器 进行 的 基于 角色 的 安装 和 管理 简化 了 在 企业 中 管理 与 
保护 多 个 服务 器 角色 的 任务 。 服 务 器 的 配置 和 系统 信息 是 通过 新 的 服务 器 管理 器 控制 台 这 一 集中 位 置 来 管 
理 的 。IT 人 员 可 以 仅 安装 需要 的 角色 和 功能 ， 向 导 会 自动 完成 许多 费时 的 系统 部 署 任务 。 增 强 的 系统 管理 
工具 (例如 ， 性 能 和 可 靠 性 监视 器 ) 可 提供 有 关系 统 的 信息 ， 从 而 在 潜在 问题 发 生 之 前 向 IT 人 员 发 出 警告 。 


2. 增强 的 保护 


Windows Server 2008 提供 了 一 系列 新 的 和 改进 的 安全 技术 ， 这 些 技术 增强 了 对 操作 系统 的 保护 ， 为 
企业 的 运营 和 发 展 奠定 了 坚实 的 基础 .Windows Server 2008 提 供 了 减 小 内 核 攻击 面 的 安全 创新 (例如 Patch 
Guard)， 从 而 使 服务 器 环境 更 安全 、 更 稳定 。 通 过 保护 关键 服务 器 服务 使 之 免 受 文件 系统 、 注 册 表 或 网 络 
中 异常 活动 的 影响 ，Windows 服务 强化 有 助 于 提高 系统 的 安全 性 。 借 助 网 络 访问 保护 (NAP)、 只 读 域 控制 
器 (RODC)、 公 钥 基 础 结构 (PKD 增 强 功能 、Windows 服务 强化 、 新 的 双向 Windows 防火 墙 和 新 一 代 加 密 
支持 ，Windows Server 2008 操作 系统 中 的 安全 性 也 得 到 了 增强 。 


3. 更 大 的 灵活 性 


Windows Server 2008 的 设计 允许 管理 员 修 改 其 基础 结构 以 适应 不 断 变化 的 业务 需求 ， 同 时 保持 了 此 
操作 的 灵活 性 。 它 允许 用 户 从 远程 位 置 (如 远程 应 用 程序 和 终端 服务 网 关 ) 执 行程 序 , 这 一 技术 为 移动 工作 人 
员 增强 了 灵活 性 。Windows Server 2008 使 用 Windows 部 署 服务 (WDS) 加 速 对 IT 系统 的 部 署 和 维护 ， 使 
Windows Server 虚拟 化 (WSv) 帮 助 合并 服务 器 。 对 于 需要 在 分 支 机 构 中 使 用 域 控制 器 的 组 织 , Windows 
Server 2008 提供 了 一 个 新 配置 选项 : 只 读 域 控制 器 (RODC)， 它 可 以 防止 在 域 控制 器 出 现 安全 问题 时 暴露 
户 账户 。 
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1-2 显示 了 微软 完整 的 虚拟 化 解决 方案 。 


mA ee 


图 1-2 Microsoft 完整 的 虚拟 化 解决 方案 


Windows Server 2008 系列 包括 Windows Server 虚拟 化 (WSv), 这 是 一 项 强大 的 虚拟 化 技术 ， 具 有 强 
大 的 管理 功能 和 安全 功能 。 通 过 WSv， 企 业 可 以 利用 已 掌握 的 Windows 服务 器 管理 技能 ， 而 无 须 购买 第 
三 方 软件 即 可 享有 虚拟 化 的 灵活 性 和 安全 性 方面 的 好 处 。Microsoft 及 其 合作 伙伴 为 Windows 及 受 支持 
的 Linux 来 宾 操 作 系统 提供 了 全 面 的 支持 。WSv 是 一 个 高 灵活 性 、 高 性 能 、 经 济 高 效 且 广 受 支持 的 虚拟 化 
平台 。 

Microsoft Windows Server 虚拟 化 包括 解决 许多 高 难度 虚拟 化 挑战 的 功能 ， 其 中 包括 : 确保 合并 服务 
器 的 安全 、 响 应 动态 工作 负载 、 实 现 高 性 能 和 可 伸缩 性 以 便 虚拟 化 工作 负载 及 简化 管理 。WSv 同时 提供 安 
全 性 和 强大 的 VM 隔离 功能 ， 从 而 可 以 在 WSv 主机 服务 器 上 合并 异类 工作 负载 ， 且 保持 灵活 性 和 安全 性 。 
构成 WSv 基础 的 64 位 管理 程序 体系 结构 为 要 求 较 高 的 工作 负载 提供 了 高 性 能 。Windows Server 2008 中 
强大 的 集成 管理 功能 、System Center Operations Manager( 系 统 中 心 操作 管理 器 ) 和 System Center Virtual 
Machine Manager( 系 统 中 心虚 拟 机 管理 器 ) 支 持 在 广泛 的 虚拟 化 环境 中 实现 自动 而 高 效 的 控制 。 


1.2.1 安全 


安全 在 任何 服务 器 实现 过 程 中 都 是 一 项 核心 挑战 。 承 载 多 台 虚 拟 机 (VMD) 的 服务 器 (也 称 为 合并 服务 器 ) 
不 仅 要 承担 与 非 合并 服务 器 同样 的 安全 风险 ， 还 要 面 对 管 理 员 角色 分 离 的 挑战 。WSv 有 助 于 提高 合并 服务 
器 的 安全 性 和 解决 管理 员 角 色 分 离 的 挑战 。WSv 通过 下 列 功能 来 实现 此 目的 。 
= 。 强大 的 分 区 能 力 : 虚拟 机 (VM) 就 如 同 完全 独立 于 运行 在 同一 物理 服务 器 上 的 其 他 虚拟 机 的 独立 操 
作 系 统 容器 。 
于 硬件 级 别 安全 性 : 较 新 的 服务 器 硬件 中 提供 了 数据 执行 保护 (DEP) 之 类 的 功能 ， 这 有 助 于 阻止 大 
多 数 流行 病毒 和 蠕虫 的 执行 。 
和 ”Windows Server 虚拟 化 : WSv 可 防止 暴露 包含 敏感 信息 的 VM， 还 可 保护 基本 主机 操作 系统 不 
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会 因 来 宾 操 作 系统 而 降低 安全 性 。 

于 网络 安全 功能 : 启用 了 自动 网 络 地 址 转换 (Network Address Translation，NAT)、 防 火 墙 和 网 络 

访问 保护 (Network Address Protection，NAP)。 

”最 小 的 受信 任 计 算 基 础 : 减少 了 攻击 面 并 提供 简化 的 轻型 虚拟 化 体系 结构 。 此 功能 可 增强 基于 

WSrv 虚拟 机 的 可 靠 性 。 

在 某 些 情况 下 ， 配 置 为 每 个 应 用 程序 提供 最 佳 安全 性 和 操作 系统 环境 的 合并 服务 器 可 能 面临 严峻 的 挑 
战 。 由 于 WSv 创建 了 一 个 环境 ,在 其 中 可 以 对 每 个 工作 负载 配置 理想 的 操作 系统 环境 和 安全 配置 文件 ,所 
以 WSv 解决 了 合并 服务 器 上 的 角色 分 离 问 题 。WSv 允许 VM 在 仅 具 有 所 需 权限 的 服务 账户 下 运行 ， 从 而 
可 使 VM 和 主机 操作 系统 彼此 不 受 影响 。 通过 WSv， 主 机 操作 系统 将 得 到 保护 ， 出 现 安全 问题 的 VM 对 
其 他 VM 产生 的 损坏 也 会 受到 限制 。 


1.2.2 ”强大 的 隔离 能 


服务 器 虚拟 化 使 具有 不 同 资源 要 求 的 工作 负载 能 够 在 同一 主机 服务 器 上 共存 。WSv 提供 了 多 种 功能 ， 
便于 高 效 地 使 用 主机 服务 器 的 物理 资源 。 
里 “灵活 的 内 存 分 配 : 可 以 为 虚拟 机 分 配 RAM 的 最 大 值 和 必须 保证 的 最 小 值 。 此 功能 允许 管理 员 创 
建 WSv 配置 来 依据 整体 WSv 服务 器 性 能 平衡 单个 VM 资源 需求 。 
”动态 的 硬件 添加 : WSv 可 以 在 受 支持 的 来 宾 操 作 系 统 运行 时 向 其 动态 添加 逻辑 处 理 器 、 内 存 、 网 
络 适配器 和 存储 器 。 此 功能 便于 对 来 宾 操作 系统 精确 分 配 WSv 主机 处 理 能 力 。 
里 “灵活 的 网 络 配置 : WSv 为 VM 提供 高 级 的 网 络 功能 ， 包 括 NAT、 防 火 墙 和 VLAN 分 配 。 这 种 灵 
活性 可 用 于 创建 更 好 地 支持 网 络 安全 要 求 的 WSv 配置 。 
WSv 灵活 的 内 存 分 配 、 动 态 的 硬件 添加 和 灵活 的 网 络 配置 功能 便于 更 高 效 地 响应 动态 服务 器 负载 。 例 
如 ， 阶 段 结束 时 的 处 理工 作 负载 通常 比 某 些 业务 线 (Line of Business，LOB) 应 用 程序 工作 负载 的 平均 值 高 
好 几 倍 。WSv 可 与 受 支 持 的 来 宾 操作 系统 一 起 使 用 为 运行 的 VM 动态 分 配 附加 内 存 和 处 理 器 资源 ， 并 且 无 
须 重新 启动 来 宾 操 作 系 统 即 可 处 理 扩展 的 处 理 要 求 。 只 要 主机 服务 器 资源 充足 ， 此 更 改 不 会 降低 主机 上 运 
行 的 其 他 VM 的 性 能 。 


1.2.3 性 能 


与 早期 版 本 相 比 , 设计 的 改进 以 及 与 支持 虚拟 化 的 硬件 集成 使 WSv 能 够 虚拟 化 那些 具有 更 高 要 求 的 工 
作 负 载 ， 并 且 在 资源 分 配 中 具有 更 大 的 灵活 性 。 

性 能 的 改进 包括 以 下 内 容 。 

”基于 64 位 管理 程序 的 轻型 . 低 开 销 虚 拟 化 体系 结构 :支持 虚拟 化 的 硬件 (Intel VT 和 AMD Pacifica 
技术 ) 实 现 了 更 高 的 来 宾 操 作 系 统 性 能 。 

里 “多 核心 支持 。 可 以 为 每 个 VM 分 配 多 达 8 个 罗 辑 处 理 器 ， 这 样 ， 就 可 以 利用 多 处 理 器 VM 核心 的 
并 行 处 理 优势 ， 对 要 求 大 量 计算 的 大 型 工作 负载 进行 虚拟 化 。 

”64 位 主机 和 来 宾 操 作 系 统 支 持 : 在 64 位 版 本 的 Windows Server 2008 上 运行 时 ，WSrv 可 提供 对 
来 宾 VM 的 大 型 内 存 池 的 访问 。 在 WSv 下 ， 可 以 成 功 虚拟 化 在 32 位 操作 系统 上 执行 时 会 出 现 大 
量 分 页 的 非常 耗费 内 存 的 工作 负载 。WSv 还 支持 在 同一 合并 服务 器 上 同时 运行 64 位 和 32 位 来 宾 
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操作 系统 。 
到。 服务 器 核心 (Server Core) 支 持 。WSv 可 以 将 Windows Server 2008 的 服务 器 核心 安装 成 为 主机 


操作 系统 。 服 务 器 核心 具有 最 低 安装 需求 和 低 开 销 ， 旨 在 提供 尽 可 能 多 的 主 服务 器 处 理 能 力 来 运 
行 VM。 
”传递 磁 盘 访 问 。 可 以 将 来 宾 操作 系统 配置 为 直接 访问 本 地 或 iSCSI 存储 区 域 网 络 (SAN) 存 储 ， 为 
产生 大 量 IO 操作 的 应 用 程序 (如 SQLServer 或 Microsoft Exchange) 提 供 更 高 的 性 能 。 
许多 服务 器 工作 负载 对 服务 器 处 理 和 IO 子 系 统 要 求 较 高 。 过 去 ，SQL Server 和 Microsoft Exchange 
之 类 的 工作 负载 通常 需要 较 大 的 内 存 和 磁盘 吞吐 量 ， 因 此 虚拟 化 这 些 工作 负载 有 一 定 难度 。WSv 中 的 64 
位 管理 程序 以 及 传递 磁盘 访问 等 功能 通常 适用 于 虚拟 化 大 型 工作 负载 。 


1.2.4 简化 的 管理 


在 部 署 WSv 的 数据 中 心 和 远程 分 支 机 构 安装 中 , 需要 强大 的 管理 功能 和 自动 化 功能 来 完全 实现 虚拟 化 
以 降低 成 本 。WSv 通过 以 下 管理 功能 和 自动 化 功能 满足 此 需求 。 

里 “可 扩展 管理 ，WSv 可 以 与 Microsoft System Center Operations Manager(SCOM) 和 System 
Center Virtual Machine Manager(SCVMM) 协 同 工 作 。 这 些 管理 工具 为 WSv 提供 报告 、 自 动 化 、 
部 署 和 用 户 自助 式 工具 。 

”用 于 VM 管理 的 MMC 3.0: 熟 悉 的 Microsoft 管 理 控制 台 (Microsoft Management Console, MMC) 
界面 用 于 管理 WSv 配置 和 VM 设置 ， 这 样 可 极 大 地 缩短 学 习 WSv 的 时 间 。 

mm Windows Management Instrumentation(WMI) 界 面 : WSv 包含 WMI 提供 程序 ， 该 提供 程序 提 
供 系统 信息 和 可 脚本 化 的 管理 访问 。 

里 PowerShell 脚本 : WSv 主机 和 VM 配置 可 以 通过 Windows PowerShell 配置 。 

”组 策略 对 象 (GPO) 管 理 :， WSv 使 用 GPO 的 配置 管理 功能 管理 WSv 主机 虚拟 化 和 虚拟 机 配置 。 

通过 SCOM 和 SCVMM 的 管理 功能 , 可 以 有 效 地 管理 WSv 的 数据 中 心安 装 和 高 度 分 散 的 安装 。 例 如 ， 

可 以 使 用 对 WSv 中 WMI 提供 程序 的 脚本 访问 通过 以 下 方式 来 自动 维护 多 个 WSv 主机 服务 器 上 的 窗口 : 
关闭 来 宾 VM 并 在 备用 服务 器 上 启动 它们 、 执 行 主机 服务 器 维护 ， 然 后 在 原始 主机 上 恢复 这 些 虚拟 机 。 由 
于 添加 了 System Center Virtual Machine Manager， 此 操作 可 以 自动 执行 ， 不 需要 中 断 许 多 应 用 程序 。 


1.3 ”Web 和 应 用 程序 平台 


Windows Server 2008 为 开发 和 可 靠 地 承载 通过 服务 器 或 Web 传送 的 应 用 程序 和 服务 提供 了 一 个 安 
全 、 易 于 管理 的 平台 。 其 新 增 功能 包括 : 简化 的 管理 、 提 高 的 安全 性 以 及 性 能 和 可 扩展 性 的 改进 。 此 外 ， 
企业 还 将 享受 到 更 有 效 的 应 用 程序 和 服务 管理 、 更 快 的 Web 应 用 程序 和 服务 部 署 及 配置 ， 以 及 更 安全 、 简 
化 、 自 定义 的 Web 平台 。Windows Server 2008 为 Web 应 用 程序 和 服务 提供 了 更 高 的 性 能 和 可 伸缩 性 ， 
同时 允许 管理 员 更 好 地 控制 和 监视 应 用 程序 和 服务 利用 关键 操作 系统 资源 的 情况 。 


Internet Information Services 7.0(IIS 7.0 或 11S7) 新 特性 


图 1-3 展示 了 IIS 7.0 的 新 特性 。Windows Server 2008 为 Web 发 布 提供 了 统一 的 平台 ， 此 平台 集成 了 


| 加 3 六 | 


Os TE 


Internet Information Services 7.0(IIS 7.0 或 IS7)、ASP.NET、Windows Communication Foundation 以 及 
Microsoft Windows SharePoint Services。 对 现 有 的 提供 IS 服务 的 Web 服务 器 而 言 ，IS 7.0 是 一 个 很 大 
的 进步 ， 它 在 集成 Web 平台 技术 中 担任 核心 角色 。IHS 7.0 的 主要 优点 是 提供 了 更 有 效 的 管理 功能 、 改 进 了 
安全 性 和 降低 了 支持 成 本 。 这些 功 能 有 助 于 创建 一 个 为 Web 解决 方案 提供 单一 、 一 致 的 开发 和 管理 模型 的 
统一 平台 。 

1. 改进 的 管理 工具 

图 1-4 展示 了 IIS 7.0 管理 过 程 中 的 各 个 环节 的 改进 ，IHS 7.0 中 新 的 管理 实用 工具 IIS 管理 器 是 更 有 效 
的 Web 服务 器 管理 工具 。 它 提供 了 对 IIS 和 ASP.NET 配置 设置 、 用 户 数据 和 运行 时 诊断 信息 的 支持 。 新 
的 用 户 界面 还 支持 托管 或 管理 网 站 的 用 户 将 管理 控制 权 委派 给 开发 人 员 或 内 容 所 有 者 ， 从 而 可 减少 拥有 成 
本 和 管理 员 的 管理 负担 。 新 的 IIS 管理 器 界面 支持 通过 HTTP 进行 远程 管理 ， 从 而 允许 进行 集成 的 本 地 、 
远程 甚至 跨 Internet 的 管理 ， 而 不 要 求 在 防火 墙 中 打开 DCOM 或 其 他 管理 端口 。 


115 7.0 福 述 @ 


IIS 7.0 网 络 管理 © 


在 应 用 的 每 个 阶段 都 有 提高 性 能 的 网 络 管理 


图 1-3 IIS 7.0 的 新 特性 图 1-4 IIS 7.0 管理 中 各 个 环节 的 改进 


此 外 ， 还 包含 新 增 的 命令 行 工 具 一 一 appcmd.exe， 它 用 于 管理 Web 服务 器 、 网 站 和 Web 应 用 程序 。 
此 命令 行 界面 简化 了 管理 员 常见 的 Web 服务 器 管理 任务 。 例 如 ， 可 以 使 用 appcmd.exe 列 出 已 被 迫 等 待 
500 ms 以 上 的 Web 服务 器 请 求 。 此 信息 可 用 于 对 性 能 欠 佳 的 应 用 程序 进行 故障 排除 ， 可 将 appcmd.exe 
的 输出 通过 管道 传递 给 其 他 命令 ， 以 便 进一步 处 理 。 

2. 基于 模块 功能 的 安装 


TIS7.0 由 40 多 个 单独 的 功能 模块 构成 。 其 中 仅 一 半 左 右 的 模块 是 默认 安装 的 ， 管 理 员 可 以 有 选择 地 安 
装 或 删除 任何 选择 的 功能 模块 。 此 模块 化 方法 允许 管理 员 仅 安 装 所 需 选 项 ， 并 且 通 过 限制 需要 管理 和 更 新 
的 功能 数量 来 节省 时 间 。 此 外 ， 由 于 未 运行 不 必要 软件 ， 减 少 了 Web 服务 器 的 攻击 面 ， 提 高 了 安全 性 。 
3. 分 布 式 配 置 模型 


图 1-5 展示 了 可 远程 管理 IS 7.0 的 Web 服务 器 场 ，IIS 7.0 在 如 何 存 储 和 访问 其 配置 数据 方面 做 出 了 
重大 改进 。 IIS 7.0 版 本 的 主要 目标 之 一 就 是 实现 HS 设置 的 分 布 式 配置 ,允许 管理 员 在 存储 代码 和 内 容 的 文 
件 中 指定 IS 配置 设置 。 

通过 分 布 式 配置 ， 管 理 员 可 在 存储 代码 和 内 容 的 目录 中 为 网 站 或 应 用 程序 指定 配置 设置 。 通 过 在 一 个 
文件 中 指定 配置 设置 , 分 布 式 配置 允许 管理 员 将 所 选 网 站 功能 或 Web 应 用 程序 的 管理 权 委派 给 其 他 人 。 例 
如 ， 可 以 委派 网 站 以 便 应 用 程序 开发 人 员 配 置 此 网 站 使 用 的 默认 文档 。 管 理 员 还 可 锁定 特定 配置 设置 ， 以 
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防止 其 他 人 对 其 进行 更 改 。 此 功能 可 用 于 确保 防止 脚本 执行 的 安全 策略 不 被 委派 了 网 站 管理 访问 权限 的 内 
容 开 发 人 员 重 写 。 通 过 使 用 分 布 式 配置 ， 在 从 开发 到 测试 然后 到 最 终 进行 生产 的 过 程 中 迁移 应 用 程序 时 ， 
可 将 特定 网 站 或 应 用 程序 的 配置 设置 从 一 台 计算 机 复制 到 另 一 台 计算 机 。 


图 1-5 用 IIS 7.0 管理 网 络 


4. 诊断 和 故障 排除 


通过 内 置 的 诊断 和 跟踪 支持 ,IIS 7.0 在 对 Web 服务 器 进行 故障 排除 时 比 以 前 更 轻松 , 管理 员 可 以 监视 
Web 服务 器 并 查看 详细 的 实时 诊断 信息 。 在 进行 诊断 和 故障 排除 时 ， 开 发 人 员 或 管理 员 可 查看 在 服务 器 上 
运行 的 请 求 。IHS 7.0 还 包含 新 增 的 RuntimeStatus( 运 行 时 状态 ) 和 Control( 控 件 ) 对 象 ， 它 们 提供 有 关 应 用 
程序 池 、 工 作 进程 、 站 点 、 应 用 程序 域 甚至 运行 的 请 求实 时 状态 信息 。 例 如 ， 可 以 使 用 此 信息 确定 工作 进 
程 中 哪个 请 求 占用 了 CPU 资源 的 100%。 

IIS 7.0 还 包含 整个 请 求 和 响应 路 径 中 的 详细 跟踪 事件 ， 开 发 人 员 和 管理 员 可 以 跟踪 某 个 请 求 进入 IIS 
请 求 处 理 管 道 、 进 入 任何 现 有 的 页 面 级 代码 ， 然 后 返回 响应 的 整个 过 程 。 通 过 这 些 详细 的 跟踪 事件 ， 开 发 
人 员 不 仅 可 以 了 解 请 求 路 径 和 伴随 请 求 产生 的 错误 信息 ， 还 可 以 了 解 已 用 时 间 和 其 他 调试 信息 ， 以 便 对 所 
有 类 型 的 错误 进行 故障 排除 。 

IIS 7.0 还 通过 提供 更 详细 和 更 具 操作 性 的 错误 消息 简化 了 故障 排除 。IIS 7.0 中 的 新 自 定义 错误 模块 允 
许 将 详细 错误 信息 发 送 回 浏览 器 (默认 情况 下 发 送 到 本 地 主机 ), 还 可 以 配置 为 发 送 到 其 他 远程 客户 端 ,现在 ， 
管理 员 可 以 查看 关于 请 求 的 详细 信息 、 哪 些 潜在 的 问题 可 能 导致 此 错误 以 及 如 何 解决 此 错误 的 建议 ， 而 不 
只 是 查看 简单 的 错误 代码 。 

运行 时 状态 和 控件 API(RSCA) 是 帮助 提高 IS 7.0 故障 排除 支持 的 最 重要 功能 之 一 ,此 功能 提供 来 自 IS 
7.0 内 部 的 有 关 服 务 器 的 详细 运行 信息 。 使 用 RSCA， 可 以 检查 和 管理 各 种 实体 ， 包 括 站 点 、 应 用 程序 池 甚 
至 .NET 应 用 程序 域 。RSCA 还 实时 显示 当前 正在 服务 器 上 执行 的 请 求 。RSCA 数据 可 从 WMI 提供 程序 和 
托管 API(Microsoft.Web.Administration) 处 获取 .1S 7.0 管 理 GUI 和 命令 行 工具 也 可 为 管理 员 提 供 此 数据 。 


5. 可 扩展 的 模块 化 体系 结构 


在 早期 版 本 的 IS 中 ， 所 有 功能 默认 情况 下 都 是 内 置 的 ， 因 此 难以 对 任何 此 类 功能 进行 扩展 或 替换 。 
如 前 所 述 ,在 IIS 7.0 中 ， 核 心 分 为 40 多 个 单独 的 功能 模块 。 另外， 核心 还 包括 一 个 新 的 Win32API， 用 于 
构建 核心 服务 器 模块 。 核 心服 务 器 模块 是 Internet 服务 器 应 用 程序 编程 接口 (SAPD 过 滤器 和 扩展 的 新 的 、 
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功能 更 强大 的 替代 品 。ISAPI 过 滤器 和 扩展 在 HS 7.0 中 仍 受 支 持 。 由 于 所 有 IIS 核心 服务 器 功能 都 是 使 用 
新 的 IS 7.0Win32 模块 API 作为 独立 的 功能 模块 开发 的 ,因此 用 户 可 以 添加 、 删 除 甚 至 蔡 换 ITS 功能 模块 。 


6. 用 于 自 定义 的 灵活 的 可 扩展 模型 


TIS 7.0 使 开发 人 员 能 够 扩展 IIS 以 通过 新 的 、 更 有 力 的 方式 提供 自 定义 功能 。 这 在 一 定 程度 上 归功 于 全 
新 的 核心 服务 器 应 用 程序 编程 接口 (APD) 集 ， 它 允许 功能 模块 既 可 以 使 用 本 机 代码 (C/C++) 开 发 ， 也 可 以 使 
用 托管 代码 (如 使 用 .NET Framework 的 C# 和 Visual Basic 2005 等 语言 ) 开 发 。 事 实 上 ， 用 于 请 求 和 应 用 程 
序 处 理 的 HS 7.0 功能 集中 的 大 部 分 功能 就 是 使 用 这 些 相同 的 API 实现 的 。IS 7.0 还 实现 了 配置 、 脚 本 、 事 
件 日 志 记录 和 管理 工具 功能 集 的 可 扩展 性 ， 从 而 为 软件 开发 人 员 提 供 可 在 其 上 构建 Web 服务 器 扩展 的 、 完 
善 的 服务 器 平台 。 

7. 真正 的 应 用 程序 xcopy 部 署 

IS 7.0 允许 将 IIS 配置 设置 存储 在 web.config 文件 中 ， 这 样 更 易于 使 用 xcopy 在 多 个 Web 服务 器 间 
复制 应 用 程序 ， 并 可 避免 执行 成 本 高 且 易 于 出 错 的 复制 、 手 动 同步 和 其 他 配置 任务 。 

8. 摘要 

IIS 7.0 中 的 所 有 结构 更 改 一 起 创建 了 一 个 极其 灵活 的 Web 应 用 程序 系统 ， 这 为 只 具备 基本 技能 的 
Web 服务 器 管理 员 新 手 和 使 用 脚本 工具 管理 多 个 服务 器 的 高 级 管理 员 , 通过 GUI 界面 和 appcmd.exe 命令 
行 工具 访问 IIS 配置 的 功能 提供 了 有 效 的 工具 。IIS 的 跟踪 和 故障 排除 组 件 提供 了 详细 的 可 用 信息 ， 可 帮助 
管理 员 和 应 用 程序 开发 人 员 隔离 行为 错误 的 页 和 代码 。IIS 7.0 的 模块 化 功能 和 详细 的 管理 模型 便于 服务 器 
管理 员 创建 满足 自己 需要 的 服务 器 ， 并 只 允许 对 站 点 和 内 容 管 理 器 进行 所 需 级 别 的 访问 。 


1.4 服务 器 管理 


从 简化 新 服务 器 的 配置 到 自动 执行 重复 的 管理 任务 ， 简 化 复杂 的 日 常服 务 器 管理 是 Windows Server 
2008 中 包括 的 许多 增强 功能 的 关键 主题 。 集 中 式 管 理工 具 、 直 观 的 界面 和 自动 化 功能 使 IT 专业 人 员 能 够 
在 中 央 网 络 和 远程 位 署 (如 分 支 机 构 ) 更 轻松 地 管理 网 络 服务 器 、 服 务 和 打印 机 。 

1. 初始 配置 任务 

使 用 Windows Server 2008， 简 化 的 安装 过 程 不 会 被 需要 用 户 干预 的 配置 任务 中 断 。 现 在 ， 那 些 任务 
和 对 话 框 在 完成 基本 安装 后 出 现 ， 这 样 管理 员 也 不 必 就 安装 顺序 进行 交互 。 

“初始 配置 任务 ”(Initial Configuration Tasks) 窗 口 是 Windows Server 2008 的 新 功能 ， 可 以 帮助 管 
理 员 预 先 配置 和 设置 新 服务 器 。 它 包括 一 系列 任务 ， 例 如 设置 管理 员 密码 、 更 改 管理 员 账户 的 名 称 以 提高 
服务 器 的 安全 性 ， 将 服务 器 加 入 现 有 域 以 及 启用 Windows Update 和 Windows 防火 墙 。 

2. 服务 器 管理 器 控制 台 

通过 新 的 服务 器 管理 器 控制 台 ，Windows Server 2008 简化 了 在 组 织 中 管理 和 保护 多 个 服务 器 角色 的 
任务 。 服 务 器 管理 器 控制 台 提 供 一 个 统一 的 控制 台 ， 用 于 管理 服务 器 的 配置 和 系统 信息 、 显 示 服 务 器 状态 、 
确定 服务 器 角色 配置 的 问题 以 及 管理 在 服务 器 上 安装 的 所 有 角色 。 


服务 器 管理 器 控制 台 的 层次 结构 窗 格 包含 可 扩展 节点 ， 管 理 员 可 以 使 用 这 些 节点 直接 进入 控制 台 来 管 
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理 特 定 角 色 、 对 工具 进行 故障 排除 或 查找 备份 和 灾难 恢复 选项 。 

服务 器 管理 器 将 各 种 管理 界面 和 工具 合并 到 统一 的 管理 控制 台中 ， 使 管理 员 不 必 在 多 个 界面 、 工 具 和 
对 话 框 之 间 导 航 即 可 完成 常见 管理 任务 。 

3. 服务 器 管理 器 向 导 

与 Windows Server 早期 版 本 相 比 ， 服 务 器 管理 器 中 的 向 导 通过 缩短 部 署 时 间 简 化 了 企业 中 的 服务 器 
部 署 任务 。 现 在 ,大 部 分 常见 配置 任务 (如 配置 或 删除 角色 、 定 义 多 个 角色 和 角色 服务 ) 可 以 使 用 服务 器 管理 
器 向 导 在 单个 会 话 中 完成 。 

Windows Server 2008 在 用 户 使 用 服务 器 管理 器 向 导 的 过 程 中 会 执行 相关 性 检查 ， 确 保安 装 了 所 选 角 
色 需 要 的 所 有 必 备 角色 服务 ， 并 且 未 删除 任何 可 能 仍然 需要 的 剩余 角色 或 角色 服务 。 

4. Windows PowerShell 

Microsoft Windows PowerShell 命令 行 外 过 和 脚本 语言 可 帮助 IT 专业 人 员 自 动 执 行 常见 任务 ， 如 图 
1-6 所 示 。 通 过 使 用 新 的 侧重 管理 的 脚本 语言 、120 多 种 标准 命令 行 工具 以 及 一 致 的 语法 和 实用 工具 ， 
Windows PowerShell 使 IT 专业 人 员 可 以 更 轻松 地 控制 系统 管理 和 加 速 自 动 化 。Windows PowerShell 易 
于 采用 ， 因 为 它 利用 现 有 IT 基础 结构 和 现 有 脚本 投资 。 它 允许 用 户 自 动 执行 基本 服务 器 管理 任务 以 及 特定 
服务 器 角色 (如 终端 服务 器 ) 的 系统 管理 。 


Windows PowerShall © 


图 1-6 Windows PowerShell 简介 


Windows PowerShell 集成 了 命令 行 外 过 和 脚本 语言 ， 这 使 管理 员 可 以 更 高 效 地 完成 和 自动 执行 批量 
系统 管理 任务 。Windows PowerShell 通过 提供 与 脚本 语言 具有 完全 相同 的 语法 的 cmdlet( 命 令 行 工 具 ) 对 
Windows 命令 提示 和 Windows ScriptHost(WSH) 进 行 了 改进 。 在 Windows PowerShell 命令 行 中 输入 的 
命令 与 为 了 在 多 个 服务 器 上 自动 执行 任务 而 在 脚本 中 使 用 的 命令 相同 。 

PowerShell 支持 组 织 的 现 有 脚本 (例如 ，.vbs、.bat、.per)， 因 此 组 织 不 需要 迁移 脚本 即 可 采用 
了 PowerShell。 现 有 的 基于 Windows 的 命令 行 工 具 将 从 PowerShell 命令 行 运行 。 通 过 提供 一 致 的 语法 和 命 
名 约定 以 及 脚本 语言 与 交互 式 外 壳 的 集成 ，PowerShell 降低 了 自动 执行 系统 管理 任务 的 复杂 度 ， 缩 短 了 执 
行 这 些 任务 所 需 的 时 间 。 

5. Windows 远程 管理 (WS-Management) 

随 着 分 支 机 构 和 其 他 位 置 中 的 远程 服务 器 数量 的 增加 ，IT 专业 人 员 需 要 更 好 的 方法 来 高 效 地 管理 非 现 
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@ Windows Server 2008 下 于 亏 王 三、 


场 服务 器 。Windows 远程 管理 提供 了 一 种 低 带宽 、 可 脚本 化 的 方法 来 轻松 管理 远程 位 置 的 服务 器 。 

Windows Remote Manager 是 Microsoft 在 WS-Management 协 议 (允许 硬件 和 操作 系统 进行 交互 操作 
的 基于 SOAP 的 标准 协议 ) 的 基础 上 实现 的 。 管 理 员 可 以 使 用 Windows 远程 管理 脚本 对 象 、Windows 远 
程 管理 命令 行 工 具 或 Windows RemoteShell 命令 行 工 具 从 本 地 和 远程 计算 机 中 获取 管理 数据 (例如 ， 有 关 
磁盘 、 网 络 适 配器 、 服 务 或 进程 等 对 象 的 信息 )。 如 果 计 算 机 运行 的 是 包括 Windows 远程 管理 的 Windows 
操作 系统 版 本 ， 则 管理 数据 由 Windows Management Instrumentation(WMD) 提 供 。 


1.5 服务 器 核心 


从 Windows Server 2008 开始 ， 管 理 员 可 以 选择 安装 具有 特定 功能 但 不 包含 任何 不 必要 功能 的 
Windows Server 的 最 小 安装 。 服 务 器 核心 (Server Core) 提 供 了 运行 以 下 一 个 或 多 个 服务 器 角色 的 环境 。 


Windows Server 虚拟 化 。 

动态 主机 配置 协议 (Dynamic Host Configuration Protocol，DHCP) 服 务 器 。 

域名 系统 (Domain Name System，DNS) 服 务 器 。 

文件 服务 器 。 

Active Directory 目录 服务 (Active Directory Directory Service，ADDS)。 

Active Directory 轻型 目录 服务 (Active Directory Light Directory Service，ADLDS)。 
Windows 媒体 服务 。 

打印 管理 。 


Server Core 可 为 组 织 提供 以 下 好 处 。 


减少 了 软件 维护 。 因 为 服务 器 核心 仅 安装 使 可 管理 的 服务 器 运行 支持 的 服务 器 角色 所 需 的 功能 
所 以 服务 器 需要 较 少 的 软件 维护 。 由 于 使 用 的 是 较 小 的 服务 器 核心 安装 ， 更 新 和 修补 程序 的 数量 
也 相应 减少 ， 这 样 既 节 省 了 服务 器 使 用 的 WAN 带宽 又 缩短 了 IT 人 员 的 管理 时 间 。 

减 小 了 攻击 面 。 因 为 减少 了 在 服务 器 上 安装 和 运行 的 文件 ， 所 以 暴露 给 网 络 的 攻击 目标 也 有 所 减 
少 ; 因此 ， 攻 击 面 也 相应 减 小 。 管 理 员 可 以 只 安装 给 定 服务 器 所 需 的 特定 服务 ， 将 暴露 风险 降低 
到 最 低 值 。 

减少 了 要 求 重 新 启动 的 次 数 ， 减 小 了 所 需 的 磁盘 空间 。 使 用 最 小 的 服务 器 核心 安装 时 ， 需 要 更 新 
或 修补 的 已 安装 组 件 有 所 减少 ， 需 要 重新 启动 的 次 数 也 相应 减少 。 服 务 器 核心 安装 只 安装 提供 所 
需 功能 需要 的 最 少 文件 ， 所 以 减 小 了 在 服务 器 上 使 用 的 磁盘 空间 。 通 过 选择 在 服务 器 上 使 用 服务 
器 核心 安装 选项 ， 管 理 员 可 以 降低 服务 器 的 管理 和 软件 更 新 要 求 ， 同 时 降低 安全 风险 。 

使 用 Windows Server 2008 中 的 服务 器 核心 安装 选项 ， 管 理 员 可 以 降低 服务 器 的 持续 维护 要 求 并 
简化 其 管理 。 通 过 运行 仅 限于 所 需 功能 的 最 小 服务 器 核心 安装 ，IT 人 员 只 需 为 该 服务 器 安装 直接 
影响 安装 文件 的 修补 程序 和 更 新 。 


1.6 Windows Server 2008 打印 管理 


组 织 越 大 ， 网 络 内 的 打印 机 数量 越 多 ，IT 人 员 安 装 和 管理 那些 打印 机 需要 花费 的 时 间 也 就 越 多 ， 所 有 
这 些 都 会 增加 运营 支出 。Windows Server 2008 包括 打印 管理 ， 它 是 一 个 MMC 管理 单元 ， 使 管理 员 能 够 
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通过 一 个 界面 来 管理 、 监 视 组 织 内 的 所 有 打印 机 (甚至 远程 位 置 的 打印 机 ) 以 及 对 其 进行 故障 排除 。 

打印 管理 在 一 个 控制 台中 提供 有 关 网 络 上 所 有 打印 机 和 打印 服务 器 状态 的 最 新 详细 信息 。 打 印 管理 可 
以 帮助 查找 出 现 错误 状况 的 打印 机 ， 还 可 以 在 打印 机 或 打印 服务 器 需要 引起 关注 时 发 送 电 子 邮 件 通 知 或 运 
行 脚本 。 在 提供 Web 界面 的 打印 机 模型 上 , 打印 管理 可 以 访问 此 附加 数据 。 这样 就 可 以 轻松 地 管理 信息 (如 
墨 粉 和 纸张 量 )， 即 使 打印 机 位 于 远程 位 置 。 此 外 ， 打 印 管理 可 以 在 本 地 打印 服务 器 的 本 地 子 网 上 自动 搜索 
和 安装 网 络 打印 机 。 

在 客户 端 计算 机 上 安装 打印 机 以 及 管理 和 监视 打印 机 时 ， 打 印 管理 可 以 为 打印 管理 员 节省 大 量 时 间 。 
打印 管理 可 与 组 策略 结合 使 用 来 自动 将 打印 机 连接 添加 到 客户 端 计算 机 的 “打印 机 和 传真 ”文件 夹 ， 而 不 
必 在 单独 的 计算 机 上 安装 和 配置 打印 机 连接 。 对 于 需要 访问 同一 台 打印 机 的 大 量 用 户 ( 如 同一 部 门 中 的 用 户 
或 一 个 分 支 机 构 中 的 所 有 用 户 ) 而 言 ， 这 是 一 种 添加 打印 机 的 既 高 效 又 省 时 的 方法 。 

打印 管理 中 提供 的 用 于 安装 、 共 享 和 管理 打印 机 的 自动 选项 和 集中 的 控制 界面 简化 了 管理 ,减少 了 IT 
人 员 部 署 打 印 机 所 需 的 时 间 。 


1.7 ”安全 和 策略 实施 


Windows Server 2008 具有 许多 用 于 改进 安全 性 和 符合 性 的 功能 。 部 分 主要 增强 功能 包括 以 下 内 容 。 

和 ”强制 实现 客户 端正 常 运行 。 网 络 访问 保护 (Network Access Protection，NAP) 使 管理 员 可 以 在 允 
许 客户 端 访问 网 络 之 前 配置 和 强制 实现 正常 运行 与 安全 要 求 。 

和 ”监视 证 书 颁发 机 构 。 企业 PKI 改进 了 监视 多 个 证 书 颁 发 机 构 (Certificate Authority，CA) 以 及 对 其 

进行 故障 排除 的 功能 。 

防火 墙 增强 功能 。 新 的 具有 高 级 安全 性 的 Windows 防火 墙 提供 了 许多 安全 增强 功能 。 

加 密 和 保护 数据 。BitLocker 通过 对 磁盘 驱动 器 加 密 来 保护 敏感 数据 。 

加 密 工 具 。 下 一 代 加 密 技 术 提 供 了 灵活 的 加 密 开 发 平台 。 

服务 器 和 域 隔离 。 服 务 器 和 域 资源 可 以 隔离 ， 以 限制 对 通过 身份 验证 和 授权 的 计算 机 进行 访问 。 

只 读 域 控制 器 (Read-Only Domain Control，RODC)。RODC 是 新 类 型 的 域 控制 器 安装 选项 ， 可 

以 安装 在 具有 较 低级 别 的 物理 安全 性 的 远程 站 点 中 。 

这 些 改进 可 帮助 管理 员 提高 组 织 的 安全 级 别 ， 简 化 与 安全 相关 的 配置 和 设置 的 管理 与 部 署 。 


1.7.1 网 络 访问 保护 


网 络 访问 保护 (Network Access Protection，NAP) 可 以 防止 不 能 正常 运行 的 计算 机 访问 组 织 网 络 和 影 
响 其 安全 性 (参见 图 1-7)。NAP 用 于 配置 和 强制 实现 客户 端正 常 运行 要 求 ， 以 及 在 不 符合 要 求 的 计算 机 连 
接 到 公司 网 络 之 前 对 其 进行 更 新 或 修补 。 通 过 NAP，, 管理 员 可 以 配置 正常 运行 策略 ， 这 些 策略 定义 连接 到 
组 织 网 络 的 计算 机 的 软件 要 求 、 安 全 更 新 要 求 和 所 需 的 配置 设置 等 内 容 。 

NAP 通过 评估 客户 端 计 算 机 的 运行 状况 以 及 限制 不 符合 要 求 的 客户 端 计 算 机 的 网 络 访问 来 强制 实现 
客户 端正 常 运行 要 求 。 客 户 端 和 服务 器 端 组 件 都 可 帮助 对 不 符合 要 求 的 客户 端 计 算 机 进行 修补 ， 以 便 获取 
不 受 限制 的 网 络 访问 权限 。 如 果 确 定 某 台 客户 端 计算 机 不 符合 要 求 ， 则 可 以 拒绝 它 对 网 络 进行 访问 ， 或 者 
立即 对 其 进行 修补 以 使 其 符合 要 求 。 
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NAP 强制 实现 方法 支持 四 种 网 络 访问 技术 , 它们 与 NAP 结合 使 用 来 强制 实现 正常 运行 策略 : Internet 
协议 安全 (IPSec) 强 制 、802.1X 强制 、 用 于 路 由 和 远程 访问 的 虚拟 专用 网 络 (Virtual Private Network，VPN) 
强制 以 及 动态 主机 配置 协议 (DHCP) 强 制 。 


网 络 接 入 保护 
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图 1-7 网 络 接 入 保护 示意 


1.7.2 ”Windows 防火 墙 高 级 安全 功能 


Windows Server 2008 中 具有 高 级 安全 性 的 Windows 防火 墙 是 基于 主机 的 状态 防火 墙 ， 它 依据 其 配 
置 和 当前 运行 的 应 用 程序 来 允许 或 阻止 网 络 通信 ， 从 而 保护 网 络 免 遭 恶意 用 户 和 程序 的 入 侵 。 其 新 增 功能 
如 图 1-8 所 示 。 


提高 了 安全 性 能 的 Windows 防 火 墙 Cy 


将 防火 培 与 IPsec 管理 结合 


图 1-8 Windows 高 级 防火 墙 新 增 功能 


其 中 一 项 新 功能 是 支持 防火 墙 对 传 入 和 传 出 通信 进行 拦截 。 例 如 ， 网 络 管理 员 可 以 对 新 的 Windows 
防火 墙 配置 一 组 例外 情况 ,阻止 所 有 通信 发 送 到 特定 端口 (如 已 知 的 由 病毒 软件 使 用 的 端口 ) 或 者 发 送 到 包含 
敏感 内 容 或 不 希望 被 访问 的 内 容 的 地 址 。 这 样 可 以 使 计算 机 免 遭 可 能 通过 网 络 传播 的 病毒 的 入 侵 ， 并 使 网 
络 免 遭 可 能 试图 从 出 现 安全 问题 的 系统 传播 的 病毒 的 入 侵 。 

由 于 增加 了 大 量 Windows 防火 墙 配置 选项 ， 因 此 增添 了 名 为 “具有 高 级 安全 性 的 Windows 防火 墙 ” 
的 新 MMC 管理 单元 以 简化 管理 。 通 过 这 一 新 的 管理 单元 ， 网 络 管理 员 可 以 在 客户 端 工作 站 和 服务 器 上 远 
程 配置 Windows 防火 墙 设置 (这 在 不 具有 远程 桌面 连接 的 早期 版 本 中 是 无 法 实现 的 ), 从 而 简化 了 远程 配置 
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和 管理 。 

在 Windows Server 早期 版 本 中 ，Windows 防火 墙 和 IPSec 是 分 别 配 置 的 。 由 于 基于 主机 的 防火 墙 和 
Windows 中 的 IPSec 都 能 够 阻止 或 允许 传 入 通信 , 因此 创建 的 防火 墙 例 外 和 IPSec 规则 可 能 会 重奏 或 矛盾 。 
Windows Server 2008 中 新 的 Windows 防火 墙 使 用 相同 的 GUI 和 命令 行 命令 合并 了 这 两 种 网 络 服务 的 配 
置 。 防 火 墙 和 IPSec 设置 的 这 种 集成 简化 了 防火 墙 和 IPSec 配置， 可 防止 出 现 策略 重 毒 和 了 矛盾 设置 。 


1.7.3 ”BitLocker 驱动 器 加 密 


BitLocker 驱动 器 加 密 是 Windows Server 2008 中 一 个 重要 的 新 功能 , 可 帮助 保护 服务 器 、 工作站 和 移 
动 计算 机 ， 如 图 1-9 所 示 。Windows Vista Enterprise 和 Windows Vista Ultimate 版 本 中 也 提供 了 
BitLocker， 用 于 保护 客户 端 计算 机 和 移动 计算 机 。BitLocker 可 对 磁盘 驱动 器 的 内 容 加 密 。 这 样 可 以 防止 
未 经 授权 的 使 用 者 通过 运行 并 行 操作 系统 或 运行 其 他 软件 工具 绕 过 文件 和 系统 保护 ， 或 者 对 存储 在 受 保护 


驱动 器 上 的 文件 进行 脱 机 查看 。 
BitLocker™ 驱动 加 密 全 


a ( Group Policy ) 允许 集中 加 密 并 且 提供 对 分 支 机 构 的 
即使 系统 在 被 未 经 授权 的 用 户 使 用 ， 以 及 运行 和 使 用 不 同 操作 
系统 时 也 能 够 提供 数据 保护 

使 用 v1.2 TPM 或 USB 驱 动 盘存 储 密 钥 


图 1-9 BitLocker 的 作用 


BitLocker 通过 将 两 个 主要 子 功能 相 结合 增强 了 数据 保护 : 系统 卷 加 密 和 对 早期 引导 组 件 的 完整 性 检 
查 。 它 对 整个 系统 卷 加 密 ， 包 括 交 换 和 休眠 文件 ， 从 而 可 提高 分 支 机 构 中 远程 服务 器 的 安全 性 。BitLocker 
解决 了 从 丢失 、 被 盗 或 不 适当 地 淘汰 的 PC 中 窃取 或 泄露 数据 的 威胁 。BitLocker 还 有 助 于 组 织 遵守 政府 法 
规 (如 Sarbanes-Oxley 和 HIPAA)， 这 些 法 规 要 求 对 安全 和 数据 保护 进行 极 高 标准 的 维护 。 


1.7.4 企业 PKI 


Windows Server 2008 和 Windows Vista 操作 系统 提供 了 大 量 公 钥 基础 结构 增强 功能 。Windows PKI 
的 所 有 方面 的 可 管理 性 都 有 所 增强 , 吊销 服务 已 经 过 重新 设计 , 并 且 对 注册 的 攻击 面 也 有 所 降低 , 如 图 1-10 
所 示 。 

PKI 的 增强 功能 包括 以 下 几 项 。 

和 ”企业 PKI(PKIView): 最 初 是 Microsoft Windows Server 2003 ResourceKit 的 一 部 分 ( 曾 称 为 
PKIHealth 工具 ), 现在 , PKIView 是 Windows Server 2008 的 一 个 Microsoft 管理 控制 台 (MMC) 
管理 单元 。 它 用 于 分 析 CA 的 运行 状态 ， 并 可 查看 在 ADCS 中 发 布 的 CA 证 书 的 详细 信息 。 

时。 联机 证 书 状态 协议 (Online Certificate Status Protocol，OCSP): 基于 联机 证 书 状态 协议 (OCSP) 
的 联机 响应 程序 可 用 于 管理 和 分 发 传统 CRL 不 是 最 佳 解决 方案 时 的 吊销 状态 信息 。 联 机 响应 程序 
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可 以 在 单 台 计 算 机 上 或 联机 响应 程序 组 中 进行 配置 。 

和 ”网 络 设备 注册 服务 (Network Device Enrollment Service，NDES): 在 Windows Server 2008 中 ， 
网 络 设备 注册 服务 (NDES) 是 Microsoft 基于 简单 证 书 注册 协议 (Simple Certificate Enrollment 
Protocol，SCEP) 实 现 的 。 该 协议 是 一 种 使 软件 可 以 在 网 络 设备 (如 路 由 器 和 交换 机 ) 上 运行 的 通信 
协议 ， 如 果 没 有 该 协议 ， 在 网 络 上 将 不 能 通过 身份 验证 来 注册 证 书 颁发 机 构 (CA) 颁 发 的 x509 证 
书 。 

里。 Web 注册 : 与 早期 版 本 相 比 ， 新 的 Web 注册 控制 更 安全 、 更 易于 编写 脚本 并 且 更 易于 更 新 。 

”组 策略 和 PKI: 组 策略 中 的 证 书 设置 使 管理 员 能 够 从 域 中 所 有 计算 机 的 一 个 中 央 位 置 来 管理 证 书 
设置 。 


图 1-10” 公 和 钥 基础 结构 (PKI) 增 强 功能 


1.7.5 下 一 代 加 密 技术 


如 图 1-11 所 示 , 下 一 代 加 密 技 术 (Cryptography Next Generation, CNG) 提 供 了 灵活 的 加 密 开发 平台 ， 
允许 IT 专业 人 员 在 与 加 密 相关 的 应 用 程序 (如 Active Directory 证 书 服务 (Active Directory Certificate 
Service, ADCS)、 安 全 套 接 字 层 (Secure Socket Layer,SSL) 和 Internet 协议 安全 (Internet Protocol Security， 
IPSec)) 中 创建 、 更 新 和 使 用 自 定义 加 密 算法 。CNG 实施 美国 政府 的 SuiteB 加 密 算法 ， 其 中 包括 加 密 算法 、 
数字 签名 算法 、 密 钥 交换 算法 和 哈 希 算法 。 
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图 1-11 下 一 代 密码 系统 
CNG 提供 了 一 组 API， 可 用 于 执行 基本 加 密 操 作 ， 如 创建 、 存 储 和 检索 加 密 密 钥 。 它 还 支持 其 他 加 密 
提供 程序 的 安装 和 使 用 。CNG 使 组 织 和 开发 人 员 既 能 够 使 用 自己 的 加 密 算法 ， 也 能 够 实现 标准 加 密 算法 。 


CNG 支持 现在 的 CryptoAPI 1.0 算法 集 ， 还 支持 椭圆 曲线 加 密 (Elliptic Curves Cryptography，ECC) 
算法 。 美 国政 府 的 SuiteB 成 果 需 要 使 用 大 量 的 ECC 算法 。 


1.7.6 ”只 读 域 控制 器 


只 读 域 控制 器 (RODC) 是 Windows Server 2008 操作 系统 中 提供 的 一 种 新 类 型 的 域 控制 器 ， 主 要 用 于 
在 分 支 环境 中 进行 部 署 。 如 图 1-12 所 示 ， 通 过 RODC， 组 织 可 以 降低 在 无 法 保证 物理 安全 的 远程 位 置 (如 
分 支 机 构 ) 中 部 署 域 控制 器 的 风险 。 


图 1-12 只 读 域 控制 器 


除 账户 密码 外 ，RODC 可 以 驻 留 可 写 域 控制 器 驻 留 的 所 有 Microsoft Active Directory 域 服务 (ADDS) 
对 象 和 属性 。 不 过 ， 客 户 端 无 法 将 更 改 直接 写 入 RODC。 由 于 更 改 不 能 直接 写 入 RODC， 因 此 不 会 发 生 本 
地 更 改 ， 作 为 复制 伙伴 的 可 写 域 控制 器 不 必 从 RODC 导入 更 改 。 管 理 员 角色 分 离 指定 可 将 任何 域 用 户 委派 
为 RODC 的 本 地 管理 员 ， 而 无 须 授予 该 用 户 对 域 本 身 或 其 他 域 控制 器 的 任何 用 户 权限 。 


1.7.7 ”服务 器 和 域 隔离 


在 基于 Windows 的 网 络 中 ， 管 理 员 可 以 在 逻辑 上 隔离 服务 器 资源 和 域 资源 ， 以 限制 对 通过 身份 验证 
和 授权 的 计算 机 的 访问 。 例 如 ， 可 在 现 有 的 物理 网 络 中 创建 一 个 逻辑 网 络 ， 其 中 计算 机 共享 一 组 相同 的 要 
求 以 便 安全 地 通信 。 在 这 个 逻辑 上 隔离 的 网 络 中 ， 每 台 计 算 机 必须 向 该 隔离 网 络 中 的 其 他 计算 机 提供 身份 
验证 凭据 以 便 建立 连接 。 

这 种 隔离 可 防止 未 授权 计算 机 和 程序 不 恰当 地 获取 资源 的 访问 权限 。 来 自 不 属于 隔离 网 络 的 计算 机 的 
请 求 将 被 忽略 。 服 务 器 和 域 隔离 可 帮助 保护 特定 的 高 价值 服务 器 和 数据 ， 也 可 使 托管 计算 机 免 遭 未 托管 或 
恶意 的 计算 机 和 用 户 破坏 。 

可 使 用 以 下 两 种 类 型 的 隔离 来 保护 网 络 。 
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服务 器 隔离 : 在 服务 器 隔离 方案 中 ， 使 用 IPSec 策略 将 特定 服务 器 配置 为 仅 接受 来 自 其 他 计算 机 
的 通过 身份 验证 的 通信 。 例 如 , 可 将 数据 库 服务 器 配置 为 仅 接受 来 自 Web 应 用 程序 服务 器 的 连接 。 
域 隔离 : 要 隔离 域 ， 管 理 员 可 以 使 用 Active Directory 域 成 员 身份 ， 确 保 作为 域 成 员 的 计算 机 仅 
接受 来 自作 为 域 成 员 的 其 他 计算 机 的 通过 身份 验证 的 安全 通信 。 隔 离 网 络 仅 由 属于 该 域 的 计算 机 
组 成 。 域 隔离 使 用 IPSec 策略 为 域 成 员 (包括 所 有 客户 端 计算 机 和 服务 器 计算 机 ) 之 间 发 送 的 通信 提 
供 保护 。 


通过 Windows Server 2008, 组 织 可 以 使 用 基于 安全 功能 (如 网 络 访问 保护 ) 的 策略 获得 前 所 未 有 的 安全 
性 。 评 估 和 控制 连接 计算 机 的 运行 状况 和 安全 状态 将 为 组 织 提供 重要 的 安全 改进 。Windows Server 2008 
中 新 的 管理 界面 简化 了 配置 和 维护 组 织 内 多 台 服 务 器 的 管理 过 程 ， 从 而 可 降低 管理 企业 网 络 安全 所 需 的 


成 本 。 


1.8 集中 式 应 用 程序 访问 


Windows Server 2008 对 终端 服务 (Terminal Services, TS) 进 行 了 改进 和 创新 , 它 不 再 仅仅 能 够 访问 应 


程序 ， 而 且 允 许 用 户 在 自己 的 桌面 上 并 行 运行 远程 应 用 程序 和 本 地 应 用 程序 ， 从 而 可 改善 用 户 体验 。 它 


还 提供 了 用 于 通过 Terminal Services Web Access 集中 访问 可 用 的 应 用 程序 的 新 选项 。 
新 的 终端 服务 组 件 包括 以 下 儿 项 。 


18:1 


Terminal Services RemoteApp: 通过 使 用 新 的 Remote Desktop Connection 6.0( 远 程 桌面 连接 6.0 
版 ) 客 户 端 ，Terminal Services RemoteApp 允许 用 户 在 其 桌面 上 并 行 运行 本 地 应 用 程序 和 远程 访 
问 的 Windows 程序 。 

终端 服务 网 关 : 无 须 虚 拟 专用 网 络 (VPN) 基 础 结构 ， 终 端 服务 网 关 (TS 网 关 ) 即 可 提供 对 终端 服务 
器 和 共享 桌面 的 安全 访问 ， 从 而 将 终端 服务 的 范围 扩展 到 了 公司 防火 墙 以 外 。 

Terminal Services WebAccess: Terminal Services Web Access(TS Web Access) 提 供 了 一 个 远程 
应 用 程序 解决 方案 ， 此 方案 简化 了 管理 员 发 布 远程 应 用 程序 的 过 程 ， 同 时 还 简化 了 用 户 查 找 和 运 
行 远程 应 用 程序 的 过 程 。 

单一 登录 : 使 用 单一 登录 ， 不 必 再 重复 输入 凭据 ， 从 而 可 改善 远程 用 户 的 用 户 体验 。 


终端 服务 


Windows Server 2008 终端 服务 包含 新 增 的 核心 功能 ， 改 善 了 最 终 用 户 连接 到 Windows Server 2008 
终端 服务 器 时 的 体验 。 新 增 的 核心 功能 包括 以 下 几 项 。 
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Remote Desktop Connection 6.0: 要 访问 终端 服务 ， 用 户 需 要 使 用 Remote Desktop Connection 
6.0。 它 随 Windows Server 2008 和 Windows Vista 一 起 提供 ，Windows XP 用 户 和 Windows 
Server 2003 用 户 可 免费 下 载 。 

远程 桌面 连接 显示 改进 : Remote Desktop Connection 6.0 软件 支持 使 用 较 高 分 辩 率 (最 高 到 
4096x2048) 的 桌面 计算 机 ， 还 支持 水 平 跨 越 多 个 监视 器 组 成 一 个 大 桌面 。Remote Desktop 
Connection 6.0 用 户 可 使 用 较 新 的 高 分 辩 率 监视 器 和 与 以 前 的 4 : 3 标准 不 符 的 新 潮 显示 格式 (如 
16 : 9 或 16 : 10 宽屏 幕 格式 )。 

桌面 体验 : Remote Desktop Connection 6.0 可 在 用 户 的 客户 端 计算 机 上 重 现 远程 计算 机 的 桌面 。 
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在 Windows Server 2008 中 安装 “桌面 体验 ”(Desktop Experience) 后 , 用户 可 在 其 远程 连接 中 使 
用 Windows Media Player、 桌 面 主题 和 照片 管理 等 Windows Vista 功能 。“ 桌 面体 验 ”功能 和 
数据 优先 级 显示 设置 (用 于 保持 键盘 、 鼠 标 与 监视 器 上 显示 的 内 容 同步 ， 即 使 在 带宽 使 用 率 非常 高 
的 情况 下 也 是 如 此 ) 增 强 了 最 终 用 户 连 接 到 Windows Server 2008 终端 服务 器 时 的 体验 。 


1. 单一 登录 


使 用 单一 登录 ， 具 有 域 账 户 的 用 户 除 第 一 次 登录 到 终端 服务 会 话 时 要 使 用 密码 或 智能 卡 外 ， 以 后 再 访 
问 远程 服务 器 和 应 用 程序 时 ， 系 统 不 会 提示 其 输入 凭据 。 单 一 登录 无 须 用 户 每 次 启动 远程 会 话 时 都 输入 凭 
据 ， 从 而 可 改善 用 户 体验 。 


2. Terminal Services RemoteApp 

Terminal Services RemoteApp 是 Windows Server 2008 提供 的 一 种 新 的 远程 应 用 程序 显示 方法 。 
RemoteApp 是 终端 服务 显示 方法 的 补充 , 它 在 窗口 中 向 访问 应 用 程序 的 用 户 显示 整个 远程 桌面 , 如 图 1-13 
所 示 。 


终端 服务 RemoteApp 


图 1-13 终端 服务 新 增 的 RemoteApp 服务 


现在 ,远程 应 用 程序 (而 非 整个 远程 桌面 ) 在 客户 端 计算 机 桌面 上 该 应 用 程序 本 身 的 可 调整 大 小 的 窗口 中 
启动 和 运行 。 如 果 程序 使 用 了 通知 区 域 图 标 ， 图 标 会 显示 在 客户 端的 通知 区 域 中 。 弹 出 窗口 被 重 定向 到 本 
地 桌面 ， 本 地 驱动 器 和 打印 机 也 被 重 定向 并 在 远程 程序 中 可 用 。 许 多 用 户 可 能 不 知道 远程 程序 和 在 其 桌面 
上 与 远程 程序 并 行 运行 的 其 他 本 地 应 用 程序 有 什么 区 别 。 

RemoteApp 仅 维护 服务 器 上 的 一 个 中 心 应 用 程序 , 而 不 需 维护 整个 组 织 中 多 个 桌面 上 的 单个 安装 , 因 
而 减少 了 管理 工作 量 。 由 于 使 得 远程 应 用 程序 和 客户 端 计 算 机 桌面 更 顺利 地 集成 , RemoteApp 还 改善 了 用 
户 体 验 。 


3. 终端 服务 网 关 


终端 服务 网 关 (TS 网 关 ) 是 一 个 终端 服务 角色 ， 如 图 1-14 所 示 ， 人 允许 经 授权 的 远程 用 户 通过 Internet 连 
接 到 企业 网 络 中 的 终端 服务 器 和 工作 站 。 这 样 ， 组 织 可 轻松 又 安全 地 使 远程 用 户 或 外 出 工作 的 人 员 无 须 使 
用 VPN 连接 就 能 访问 所 选 的 服务 器 和 工作 站 。 
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1-14 ”终端 服务 网 关 


TS 网 关 的 一 些 主要 技术 特点 如 下 。 
使 远程 用 户 能 通过 Internet 安全 连接 到 企业 网 络 资源 ， 而 无 须 复 杂 的 虚拟 专用 网 络 (VPN) 连 接 。 
利用 HTTPS 协议 的 安全 性 和 可 用 性 提供 终端 服务 ， 而 无 须 进行 客户 端 配置 。 
提供 了 一 个 全 面 的 安全 配置 模型 ， 管 理 员 可 使 用 此 模型 控制 对 网 络 中 特定 资源 的 访问 。 
使 用 户 可 穿 过 防火 墙 和 网 络 地 址 转换 器 (Network Address Translation，NAT) 远 程 连 接 到 终端 服 
务 器 和 远程 工作 站 。 

里。 提供 了 一 个 更 加 安全 的 模型 ,此 模型 允许 用 户 仅 访问 所 选 的 服务 器 和 工作 站 , 而 不 是 通过 VPN 访 

问 整个 企业 网 络 。 

终端 服务 网 关 为 组 织 提供 了 一 种 安全 、 轻松 的 方法 , 使 远程 用 户 无 须 安装 和 配置 VPN 连接 即 可 访问 网 

络 中 的 服务 器 和 工作 站 。 使 用 全 面 的 安全 功能 ， 管 理 员 还 可 以 控制 对 特定 资源 的 访问 。 


1.8.2 Terminal Services Web Access 


Terminal Services Web Access(TS Web Access) 是 一 个 终端 服务 角色 ， 通 过 它 ， 管 理 员 可 使 用 户 无 须 
安装 任何 软件 就 能 通过 Web 浏览 器 访问 Terminal Services RemoteApp 程序 .如 图 1-15 所 示 , 使 用 TS Web 
Access， 用 户 可 访问 网 站 以 及 所 有 可 用 应 用 程序 列表 。 当 用 户 启动 列 出 的 任 一 程序 时 ， 承 载 该 应 用 程序 的 
基于 Windows Server 2008 的 终端 服务 器 上 会 自动 为 用 户 启动 一 个 终端 服务 会 话 。 对 用 户 而 言 ， 此 Web 
界面 提供 了 一 个 显示 所 有 当前 可 用 远程 应 用 程序 的 集中 式 菜单 ， 而 且 运行 远程 应 用 程序 与 在 菜单 中 选择 程 
序 一 样 简单 。 


图 1-15 终端 服务 Web 访问 
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使 用 TS Web Access 可 减少 管理 开销 ， 还 可 从 中 心 位 置 轻松 访问 程序 。 由 于 程序 是 在 终端 服务 器 而 非 
在 客户 端 计算 机 中 运行 ， 所 以 IT 人 员 只 需 维护 和 更 新 该 应 用 程序 的 一 部 分 。 


1.9 分 支 机 构 


企业 希望 更 加 贴近 客户 ， 因 而 正 逐 渐 将 工作 人 员 从 中 心 位 置 分 散 到 各 分 支 机 构 。 如 图 1-16 所 示 ， 随 着 
分 支 机 构 数量 不 断 增加 ， 对 这 些 远程 位 置 的 IT 管理 需要 和 安全 关注 也 相应 增长 。Microsoft 意识 到 了 这 种 
快速 增长 的 生产 力 因素 ， 以 及 为 应 对 特定 的 分 支 机 构 挑战 所 需 新 的 解决 方案 的 需要 。 


分 公司 受益 


图 1-16 Windows Server 2008 对 分 公司 的 支持 


由 于 分 支 机 构 现场 的 IT 工作 人 员 数 量 很 少 或 根本 就 没有 ,因此 ,对 这 些 分 支 机构 中 的 服务 器 ，IT 管理 
员 需 要 考虑 若干 方面 的 问题 。 服 务 器 上 运行 的 软件 必须 有 效 地 使 用 较 低 速 的 WAN(Wide Area Network， 
广域网 ) 连 接 ， 而 不 能 占用 所 有 带宽 、 延 缓 关键 任务 数据 传输 或 对 分 支 用 户 的 应 用 程序 体验 产生 负面 影响 。 
于 不 能 总 是 保证 服务 器 的 物理 安全 ， 所 以 ， 在 分 支 机 构 中 ， 安 全 性 是 一 个 要 考虑 的 大 问题 。 由 于 现场 没 
有 较 多 的 IT 工作 人 员 ， 因 而 能 提供 集中 管理 及 远程 管理 和 部 署 的 服务 器 解决 方案 比较 适合 分 支 机 构 。 

在 Windows Server 2003 R2 中 ，Microsoft 开始 解决 分 支 机 构 方案 的 需求 和 挑战 。Windows Server 
2008 版 本 包括 许多 附加 的 改进 ， 这 些 改进 使 管理 员 对 分 支 机 构 的 控制 能 力 更 强 ， 并 提高 了 对 分 支 机 构 和 组 
织 的 中 心 网 络 和 数据 的 保护 级 别 。 它 还 为 需要 满足 其 组 织 独特 需求 的 IT 专业 人 士 提 供 了 更 大 的 灵活 性 。 

对 于 分 支 机 构 ，Windows Server 2008 提供 的 主要 好 处 可 分 为 以 下 三 个 类 别 。 

于 提高 分 支 机 构 服 务 器 部 署 和 管理 的 效率 。 

日 ”降低 分 支 机 构 中 的 安全 风险 。 

”提高 WAN 通信 的 效率 和 带宽 使 用 率 。 

通过 提供 对 关键 服务 器 角色 的 简化 部 署 和 有 效 管 理 、 改 进 的 安全 性 以 及 一 个 可 优化 性 能 并 可 用 于 服务 
连续 性 的 体系 结构 ,Microsoft 的 分 支 机 构 解 决 方案 和 Windows Server 2008 的 多 种 新 功能 和 增强 功能 解决 
了 基本 的 分 支 机 构 需 求 。 


1.9.1 部署 和 管理 


从 远程 位 置 管理 服务 器 ， 服 务 和 安全 性 是 IT 专业 人 士 一 直面 临 的 挑战 。Windows Server 2008 简化 了 
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对 位 于 分 支 机 构 中 服务 器 的 远程 部 署 和 持续 管理 。 

Active Directory 目录 服务 的 更 改 和 增强 功能 、 只 读 域 控制 器 简介 、BitLocker、 角 色 分 离 和 服务 器 核 
心安 装 选项 是 Windows Server 2008 的 特定 功能 , 解决 了 分 支 机 构 的 独特 需求 , 并 增加 了 IT 部 门 远程 管理 
的 有 效 性 。 


1.9.2 ”只 读 域 控制 器 


只 读 域 控制 器 (Read-Only Domain Control，RODC) 是 Windows Server 2008 操作 系统 提供 的 一 种 新 
类 型 的 域 控 制 器 。RODC 主要 是 为 在 分 支 机 构 环境 中 部 署 而 设计 的 。 通 过 RODC, 组 织 可 以 限制 在 某 些 位 
置 (例如 ， 无 法 保证 物理 安全 的 分 支 机 构 ) 部 署 域 控 制 器 的 风险 。 

除 账户 密码 外 ，RODC 包含 可 写 域 控制 器 包含 的 所 有 Microsoft Active Directory 域 服务 (ADDS) 对 象 
和 属性 。 不 过 ， 客 户 端 无 法 将 更 改 直 接 写 入 RODC。 由 于 更 改 不 能 直接 写 入 RODC， 因 此 不 会 发 生 本 地 更 
改 ， 作 为 复制 伙伴 的 可 写 域 控制 器 不 必 从 RODC 导入 更 改 。 这样 便 减少 了 集线器 网 站 中 桥头 服务 器 的 工作 
负载 以 及 监视 复制 所 需 的 工作 量 。 

管理 员 角 色 分 离 指 定 可 委派 任何 域 用 户 为 本 地 RODC 的 管理 员 , 而 无 须 授予 该 用 户 任何 对 域 本 身 或 其 
他 域 控制 器 的 用 户 权限 。 这 样 ， 便 创建 了 以 下 方案 : 本 地 分 支 用 户 可 在 服务 器 上 登录 到 RODC 执行 维护 工 
作 (如 升级 驱动 程序 )， 而 不 必 具 有 访问 分 支 之 外 的 域 资源 的 权限 。 


1.9.3 BitLocker 驱动 器 加 密 


BitLocker 驱动 器 加 密 是 Windows Server 2008 中 一 项 重要 的 新 安全 功能 , 可 帮助 保护 分 支 机 构 中 的 服 
务 器 。Windows Vista Enterprise 和 Windows Vista Ultimate 版 本 中 也 提供 了 该 功能 ， 用 于 保护 客户 端 计 
算 机 和 漫游 用 户 的 移动 计算 机 。BitLocker 可 对 磁盘 驱动 器 的 内 容 加 密 。 这 样 可 以 防止 未 经 授权 的 使 用 者 通 
过 运行 并 行 操作 系统 或 运行 其 他 软件 工具 绕 过 文件 和 系统 保护 ， 或 者 对 存储 在 受 保护 的 驱动 器 上 的 文件 进 
行 脱 机 查看 。 

BitLocker 通过 将 两 个 主要 子 功能 相 结合 增强 了 数据 保护 : 系统 卷 加 密 和 对 早期 引导 组 件 的 完整 性 检 
查 。 它 对 整个 系统 卷 加 密 ， 包 括 交 换 和 休眠 文件 ， 这 样 ， 增 强 分 支 机 构 中 远程 服务 器 的 安全 性 。BitLocker 
解决 了 从 丢失 、 被 盗 或 不 适当 地 淘汰 的 PC 中 窃取 或 泄露 数据 的 威胁 。 在 分 支 机 构 方 案 中 ， 这 一 点 非常 重 
要 ， 因 为 不 能 总 是 保证 服务 器 的 物理 安全 。 


1.9.4 ”服务 器 核心 


从 Windows Server 2008 开始 ， 管 理 员 可 以 选择 安装 具有 特定 功能 但 不 包含 任何 不 必要 功能 的 
Windows Server 的 最 小 安装 。 

如 图 1-17 所 示 的 Windows 服务 器 核心 (Server Core) 提 供 了 运行 以 下 一 个 或 多 个 服务 器 角色 (已 全 部 在 
分 支 机 构 中 部 署 ) 的 环境 。 

”动态 主机 配置 协议 (DHCP) 服 务 器 。 

”域名 系统 (DNS) 服 务 器 。 

”文件 服务 器 。 
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至。 Active Directory 域 服 务 (ADDS)。 

和 ”Active Directory 轻型 目录 服务 (ADLDS)。 
”Windows 媒体 服务 。 

ms ”打印 管理 。 

和 ”Windows Server 虚拟 化 。 


Windows 服务 器 核心 © 


Server Core 


图 1-17 Windows Server Core 介绍 


在 分 支 机 构 方案 中 ， 使 用 服务 器 核心 有 以 下 好 处 。 

a ”减少 了 软件 维护 ， 执 行 较 小 的 服务 器 核心 安装 减少 了 更 新 和 修补 程序 的 数量 ， 从 而 可 节省 分 支 服 
务 器 占用 的 WAN 带宽 和 IT 工作 人 员 耗 费 的 管理 时 间 。 

a 减 小 了 攻击 面 : 管理 员 可 以 只 安装 其 分 支 机构 设 置 所 需 的 特定 服务 ， 使 暴露 风险 降 至 最 小 。 

a ”减少 了 要 求 重新 启动 的 次 数 ， 减 小 了 所 需 的 磁盘 空间 :使用 最 小 的 服务 器 核心 安装 时 ， 需 要 更 新 
或 修补 的 已 安装 组 件 有 所 减少 ， 需 要 重新 启动 的 次 数 也 相应 减少 。 服 务 器 核心 安装 只 安装 提供 所 
需 功 能 需要 的 最 少 文件 ， 所 以 将 使 用 分 支 机 构 服 务 器 上 较 少 的 磁盘 空间 。 


1.9.5 增强 ActiveDirectory 的 可 管理 性 


Windows Server 2008 包括 ActiveDirectory 域 服务 中 的 改进 ， 这 些 改进 简化 了 域 服务 的 管理 ， 并 为 管 
理 员 解决 分 支 机构 的 需求 提供 了 更 大 的 灵活 性 。 一 些 关键 的 管理 增强 功能 如 下 。 
更 新 的 ActiveDirectory 域 服务 (ADDS) 安 装 向 导 。 
对 用 于 管理 ADDS 的 Microsoft 管理 控制 台 的 更 改 。 
适用 于 域 控制 器 的 新 安装 选项 。 
可 简化 ADDS 安装 的 更 新 的 安装 向 导 。 
改进 的 适用 于 ADDS 的 界面 和 管理 选项 。 
改进 的 用 于 在 企业 内 查找 域 控 制 器 的 工具 。 

现在 ， 通 过 新 的 安装 向 导 ， 所 有 相关 的 功能 组 合 到 了 一 起 ， 从 而 ， 简 化 部 署 过 程 并 节省 部 署 时 间 。 
Windows Server 2008 中 的 无 人 参与 安装 从 不 要 求 响应 任何 用 户 界面 提示 ， 进 一 步 简 化 了 远程 安装 。 这 也 
使 得 可 以 在 服务 器 核心 安装 上 ADDS。 为 确保 新 安装 的 DNS 服务 器 正常 运行 ， 将 基于 所 选 的 安装 选项 根 
据 需要 为 DNS 客户 端 设置 、 转 发 器 和 根 提示 自动 配置 DNS。 
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通过 对 分 支 机 构 中 的 服务 器 精简 初始 部 署 并 简化 管理 ，Windows Server 2008 中 提供 的 ADDS 界面 将 
节省 开 管 理 时 间 。 


1.10 高 可 用 性 


确保 关键 任务 应 用 程序 始终 可 用 是 IT 部 门 提供 的 一 项 关键 服务 , 而 且 “ 高 可 用 性 ”是 Windows Server 
2008 提供 的 大 量 增强 功能 的 一 个 关键 主题 。Windows Server 2008 中 的 故障 转移 群集 、 网 络 负载 平衡 和 新 
的 备份 与 还 原 功能 共同 为 组 织 提供 “高 可 用 性 ”解决 方案 ， 从 而 确保 所 有 用 户 可 访问 关键 任务 的 应 用 程序 、 
服务 和 信息 。 


1.10.1 故障 转移 群集 


故障 转移 群集 (以 前 称 为 服务 器 群集 ) 是 一 组 独立 的 计算 机 (如 图 1-18 所 示 ), 可 协同 工作 以 增强 应 用 程序 
和 服务 的 可 用 性 。 和 群集 服务 器 ( 称 为 节点 ) 通 过 物理 电缆 和 软件 连接 。 如 果 某 个 群集 节点 出 现 故障 ， 则 群集 中 
的 另 一 个 节点 会 通过 一 个 称 为 故障 转移 的 过 程 取代 出 现 故障 的 节点 ， 从 而 确保 用 户 感受 到 最 低 程度 的 服务 
中 断 。 故 障 转移 群集 供需 要 为 任务 关键 型 服务 和 应 用 程序 提供 高 可 用 性 的 IT 专业 人 员 使 用 。 


图 1-18 故障 转移 群集 


在 Windows Server 2008 中 ， 对 故障 转移 群集 的 改进 旨 在 简化 群集 、 提 高 群集 的 安全 性 和 稳定 性 。 

在 Windows Server 2008 中 ， 和 群集 设置 和 配置 已 通过 新 的 验证 向 导 进 行 了 简化 ， 此 向 导 使 用 户 可 以 确 
认 系统 、 存 储 和 网 络 配置 是 否 适用 于 群集 。 新 的 验证 向 导 执行 的 部 分 测试 所 包括 的 内 容 如 下 。 

里 节点 测试 : 确认 各 个 服务 器 是 否 在 运行 相同 版 本 的 操作 系统 ， 并 且 安装 了 相同 的 软件 更 新 。 

里 ”网络 测试 : 确定 计划 的 群集 网 络 是 否 满足 特定 要 求 ， 如 至 少 具有 两 个 独立 子 网 以 实现 网 络 元 余 。 

”存储 测试 : 分 析 是 否 对 存储 进行 了 正确 配置 ， 以 便 所 有 群集 节点 可 以 访问 所 有 共享 磁盘 ， 并 且 满 

足 指 定 的 要 求 。 

Windows Server 2008 支持 在 群集 存储 中 使 用 全 局 唯一 标识 符 或 GUID 分 区 表 (GPT) 磁 可。 与 主 启动 
记录 (Master Boot Record，MBR) 磁 盘 不 同 ，GPT 磁盘 的 分 区 大 小 超过 2TB 并 具有 内 置 见 余 。 与 主 启动 记 
录 (MBR) 分 区 相 比 ，GPT 具有 更 多 的 优点 ， 因 为 它 允 许 每 个 磁盘 有 多 达 128 个 分 区 、 支 持 高 达 18EB( 注 : 
1EB=1024PB= 10242 TB =10243 GB) 的 卷 大 小 、 人 允许 将 主 分 区 表 和 备份 分 区 表 用 于 元 余 ， 还 支持 唯一 的 磁盘 
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和 分 区 ID。 

为 了 简化 群集 管理 ， 管 理 界面 已 经 过 改进 ， 使 管理 员 可 将 精力 集中 在 对 应 用 程序 和 数据 (而 不 是 群集 ) 
的 管理 上 。 新 的 界面 是 基于 任务 的 且 更 直观 ， 用 于 指导 管理 员 完 成 以 前 视 为 复杂 操作 的 向 导 也 对 其 提供 
支持 。 

与 早期 版 本 的 服务 器 群集 相 比 ，Windows Server 2008 故障 转移 群集 提供 了 更 好 的 功能 和 可 靠 性 。 主 

要 的 改进 包括 以 下 内 容 。 

和 ”动态 添加 磁盘 资源 :在 资源 联机 时 可 以 修改 资源 依赖 关系 ， 即 管理 员 无 须 中 断 将 使 用 某 磁盘 存储 
的 应 用 程序 即 可 添加 该 磁盘 存储 。 

和 ”增强 的 数据 存储 性 能 和 稳定 性 ， 故障 转移 群集 与 存储 区 域 网 络 (Storage Area Network，SAN) 或 
直接 连接 存储 (Direct Attached Storage，DAS) 通 信 时 ， 将 使 用 破坏 性 最 小 的 命令 ， 从 而 SCSI 总 
线 重 置 较 少 。 磁 盘 从 不 会 处 于 未 受 保护 状态 ， 这 意味 着 降低 了 卷 损 坏 的 风险 。 故 障 转移 群集 还 支 
持 用 于 磁盘 发 现 和 恢复 的 改进 方法 。 故 障 转移 群集 支持 以 下 三 种 类 型 的 存储 连接 : 串 行 连接 
SCSI(SAS)、iSCSI 和 光纤 通道 。 

时。 更 轻松 的 磁极 维护 : “维护 模式 ”得 到 了 显著 改进 ， 因 此 管理 员 可 以 更 轻松 地 运行 工具 对 磁 静 进 
行 检查 、 修 补 、 备 份 或 还 原 ， 而 对 群集 造成 较 小 的 破坏 。 

对 于 使 用 群集 提供 高 可 用 性 解决 方案 的 管理 员 而 言 Windows Server 2008 简化 了 群集 的 部 署 和 管理 ， 

并 且 增强 了 性 能 和 可 靠 性 。 


1.10.2 ”网络 负载 平衡 


网 络 负载 平衡 (Network Load Balancing，NLB) 是 一 种 功能 ， 用 于 在 NLB 群集 中 跨 多 个 服务 器 为 网 络 
客户 端 和 服务 器 应 用 程序 分 配 负载 。NLB 对 于 需要 在 一 组 服务 器 之 间 分 发 客户 端 请 求 的 组 织 非常 重要 。 
NLB 尤其 适用 于 确保 随 着 工作 负载 的 增加 , 添加 更 多 服务 器 来 扩展 无 状态 应 用 程序 (例如 , 在 Internet 信息 
服务 (Internet Information Service, IIS) 上 运行 的 基于 Web 的 应 用 程序 )。NLB 允许 随 着 负载 的 增加 而 添加 
其 他 服务 器 ， 从 而 提供 了 可 伸缩 性 。NLB 通过 允许 用 户 轻松 地 替换 不 能 正常 运行 的 服务 器 提供 可 靠 性 。 
Windows Server 2008 中 NLB 的 增强 功能 包括 以 下 几 项 。 

”支持 IPv6: NLB 完全 支持 对 所 有 通信 使 用 IPv6。 

于 “支持 NDIS 6.0: NLB 驱动 程序 已 经 过 彻底 的 重新 编写 , 以 使 用 新 的 NDIS6.0 轻型 筛选 模型 。NDIS 

6.0 保留 了 与 早期 NDIS 版 本 的 向 后 兼容 性 。NDIS 6.0 在 设计 方面 的 改进 包括 增强 的 驱动 程序 性 
能 与 可 伸缩 性 和 简化 的 NDIS 驱动 程序 模型 。 

”WMI 增强 功能 :MicrosoftNLB 命名 空间 的 WMI 增强 功能 适用 于 IPv6 及 多 个 专用 外 地 址 支持 。 

里 MicrosoftNLB 命名 空间 中 的 类 别 : 支持 IPv6 地 址 (也 支持 IPv4 地 址 )。 

里 MicrosoftNLB_NodeSetting 类 别 : 通过 在 DedicatedIPAddresse 和 DedicatedNetMask 中 进行 

指定 ， 支 持 多 个 专用 全 地址。 
和 JSA 服务 器 的 增强 功能 : 在 客户 端 同时 采用 IPv4 和 IPv6 进行 通信 的 情况 下 ，ISA 服务 器 可 为 每 
个 NLB 节点 配置 多 个 专用 卫 地 址 。IPv4 客户 端 和 IPv6 客户 端 都 需要 访问 特定 的 ISA 服务 器 来 
管理 通信 。ISA 还 可 为 NLB 提供 SYN 攻击 和 计时 器 停止 运行 通知 (这 类 情况 通常 发 生 在 计算 机 超 
载 或 感染 Internet 病毒 时 )。 

”支持 每 个 节点 有 多 个 专用 他 地址: NLB 完全 支持 为 每 个 节点 定义 多 个 专用 他 地址 (以 前 , 仅 支持 


| 


@ Windows Server 2008 1 


每 个 节点 有 一 个 专用 下 地址 ), 从 而 允许 在 不 同 的 应 用 程序 需要 各 自 的 专用 他 地址 时 , 一 个 NLB 
群集 承载 多 个 应 用 程序 。 
这 些 功能 可 支持 新 的 行业 标准 、 增 强 性 能 、 加 强 互 操作 性 、 提 高 安全 性 以 及 提高 部 署 和 合并 应 用 程序 
的 灵活 性 。 


1.10.3 Windows 备份 


备份 是 Windows Server 2008 的 第 三 个 关键 部 分 ， 用 来 提供 服务 的 高 可 用 性 。 备 份 功能 为 安装 该 功能 
的 服务 器 提供 了 一 个 备份 和 恢复 解决 方案 。 此 功能 引入 了 新 的 备份 和 恢复 技术 ,取代 了 早期 版 本 的 
Windows 操作 系统 中 提供 的 以 前 的 备份 功能 。 

备份 功能 可 用 于 有 效 、 可 靠 地 保护 整个 服务 器 ， 而 无 须 顾虑 备份 和 恢复 技术 的 复杂 性 。 简 单 的 向 导 可 
指导 用 户 设置 自动 备份 计划 、 创 建 手动 备份 (如 果 需 要 ) 以 及 恢复 项 目 或 所 有 卷 。Windows Server 2008 中 的 
备份 可 用 于 备份 整个 服务 器 或 所 选 的 卷 。 

备份 功能 使 用 卷 影 复制 服务 和 程序 块 级 备份 技术 来 高 效 备份 和 恢复 操作 系统 、 文 件 和 文件 夹 以 及 卷 。 
在 创建 第 一 个 完整 备份 后 ， 备 份 功能 通过 仅 保存 自 上 次 备份 后 更 改 的 数据 自动 运行 增 量 备份 。 与 早期 版 本 
不 同 ， 管 理 员 不 用 再 担心 手动 计划 完整 备份 和 增 量 备份 。 

Windows Server 2008 改进 和 简化 了 还 原 功能 。 现 在 ， 通 过 选择 要 恢复 项 目的 一 个 备份 ， 然 后 选择 要 
还 原 的 项 目 ， 即 可 还 原 项 目 。 还 可 选择 还 原 特 定 文件 或 文件 夹 的 所 有 内 容 。 以 前 ， 对 于 增 量 备份 ， 如 果 项 
目 存储 在 增 量 备份 中 ， 则 需 将 其 从 多 个 备份 中 手动 还 原 。 而 现在 ， 用 户 只 需 选 择 所 要 还 原版 本 的 备份 日 期 
即 可 。 

Windows Server 2008 提供 了 构建 高 可 用 性 的 解决 方案 所 需 的 备份 和 恢复 解决 方案 ， 此 方案 可 保护 网 
络 服务 器 中 组 织 的 数据 和 操作 系统 ， 同 时 可 减轻 确保 正常 备份 关键 任务 数据 的 管理 负担 ， 还 可 加 快 数据 
恢复 。 
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使 用 虚拟 机 WMWare Workstation 搭建 实战 环 
境 ， 本 书 的 后 续 章 节 实战 环境 均 基 于 虚拟 机 ， 例 如 ， 
在 虚拟 机 中 安装 VMWare Tools， 给 系统 做 快照 ， 克 隆 
系统 等 常规 设置 。 

在 虚拟 机 环境 中 安装 Windows Server 2008 企业 
版 , 完成 Windows Server 2008 安装 后 的 初始 化 配置 ， 
更 改 管理 员 密 码 ， 更 改 计算 机 名 称 ， 激 活 计 算 机 。 

安装 Windows Server Core 企业 版 , 使 用 命令 行 完 


成 初始 化 配置 ， 更 改 计算 机 名 称 ， 更 改 IP 地 址 、 子 网 
掩 码 和 网 关 以 及 DNS， 激 活 Windows Server Core。 

使 用 Windows PE 备份 操作 系统 和 还 原 操 作 系 统 ， 
能 够 在 系统 启动 失败 的 情况 下 ， 复 制 出 系统 目录 下 的 
重要 数据 ， 在 忘记 系统 管理 员 密 码 的 情况 下 ， 重 设 密 
码 ， 能 够 恢复 删除 的 文件 。 


全 关键 词 


了 解 Windows Server 2008 有 哪 
些 版 本 

知道 安装 Windows Server 2008 
的 硬件 要 求 

能 够 使 用 虚拟 机 软件 搭建 学 习 环 
境 

学 会 在 虚拟 机 中 安装 Windows 
Server 2008 企业 版 

学 会 Windows Server 2008 安装 
完成 后 的 初始 化 配置 

学 会 在 虚拟 机 中 安装 Windows 
Server 核心 版 


@ Windows Server 2008 局 二 二 全。 


2.1 Windows Server 2008 版 本 


1. Windows Server 2008 Standard Edition/ 32-bit Edition 

该 版 本 提供 大 多 数 服务 器 所 需要 的 角色 和 功能 ， 包 括 全 功能 的 Server Core 安装 选项 。 

2. Windows Server 2008 Enterprise Edition/ 32-bit Edition 

该 版 本 在 Windows Server 2008 Standard Edition 的 基础 上 提供 更 好 的 可 伸缩 性 和 可 用 性 , 添加 了 企业 


技术 例如 Failover Clustering 与 活动 目录 联合 服务 。 


3. Windows Server 2008 Datacenter Edition / 32-bit Edition 

该 版 本 在 Windows Server 2008 Enterprise Edition 的 基础 上 支持 更 多 的 内 存 和 处 理 器 ， 以 及 无 限量 使 
虚拟 镜像 。 

4. Windows Web Server 2008 / 32-bit 

这 是 一 个 特殊 版 本 的 应 用 程序 服务 器 ， 只 包含 Web 应 用 ， 其 他 角色 和 Server Core 都 不 存在 。 

5. Windows Server 2008 for Itanium-based Systems 

该 版 本 专 为 Intel Itanium 64-bit 处 理 器 设计 ， 提 供 Web 和 应 用 程序 服务 器 功能 ， 根 据 平台 支持 的 不 


同 ， 部 分 角色 和 功能 可 能 无 法 正确 运行 。 


产 
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2.2 ”Windows Server 2008 对 硬件 的 要 求 


1. 处 理 器 
处 理 器 性 能 不 仅 取决 于 处 理 器 的 时 钟 频率 ， 而 且 取 决 于 处 理 器 内 核 数 以 及 处 理 器 缓存 大 小 。 以 下 是 本 
品 对 处 理 器 的 要 求 。 

到 最低 要 求 : 1 GHz( 对 于 x86 处 理 器 ] 或 1.4 GHz( 对 于 x64 处 理 器 ) 

里 “建议 配置 : 2 GHz 或 更 高 

nm RAM 

以 下 是 本 产品 对 RAM 的 要 求 。 

”最 低 要 求 : 512 MB 

于 “建议 配置 : 2 GB 或 更 多 

mm ”最 大 (32 位 系统 ]: 4GB( 对 于 Windows Server 2008 Standard), 或 64 GB( 对 于 Windows Server 
2008 Enterprise 或 Windows Server 2008 Datacenter) 

”最 大 (64 位 系统 ): 32 GB( 对 于 Windows Server 2008 Standard)， 或 2 TB( 对 于 Windows Server 
2008 Enterprise、Windows Server 2008 Datacenter 或 面向 基于 Itanium 系统 的 Windows Server 
2008) 


2. 磁盘 空间 要 求 
以 下 是 系统 分 区 对 磁盘 空间 的 大 致 要 求 。 对 于 基于 Itanium 的 操作 系统 和 基于 x64 的 操作 系统 ， 这 


些 估 计 值 将 有 所 不 同 。 如 果 通过 网 络 安装 系统 ， 可 能 需要 更 多 的 磁盘 空间 。 有 关 详 细 信 息 ， 可 参阅 
http://go.microsoft.com/fwlink/?LinkId=99285( 可 能 为 英文 网 页 )。 

ma ”最低 要 求 : 10 MB 

mm ”建议 配置 ，40 GB 或 更 多 


© 注意 : RAM 超过 16 GB 的 计算 机 将 需要 更 多 的 磁盘 空间 用 于 页 面 文件 、 休 眼 文件 和 转 储 文件 。 


和 ”DVD-ROM 驱动 器 
和 ”超级 VGA (800x600) 或 更 高 分 辩 率 的 显示 器 
”键盘 和 Microsoft(R] 鼠 标 (或 其 他 兼容 的 指点 设备 ) 


2.3 虚拟 机 


一 台 计 算 机 上 将 硬盘 和 内 存 的 一 部 分 拿 出 来 虚拟 出 若干 台 机 器 ， 每 台 机 器 可 以 运行 单独 的 操作 系统 
而 互 不 干扰 ， 这 些 “ 新 ”机 器 各 自 拥 有 自己 独立 的 CMOS、 硬 盘 和 操作 系统 ， 用 户 可 以 像 使 用 普通 机 器 一 
样 对 它们 进行 分 区 、 格 式 化 、 安 装 系 统 和 应 用 软件 等 操作 ， 还 可 以 将 这 几 个 操作 系统 联 成 一 个 网 络 。 在 虚 
拟 系统 裔 溃 之 后 可 直接 删除 而 不 影响 本 机 系统 ， 同 样本 机 系统 崩溃 后 也 不 影响 虚拟 系统 ， 可 以 下 次 重 装 后 
再 加 入 以 前 做 的 虚拟 系统 。 同 时 它 也 是 唯一 的 能 在 Windows 和 Linux 主机 平台 上 运行 的 虚拟 计算 机 软件 。 
虚拟 机 软件 不 需要 重 开机 ， 就 能 在 同一 台 计 算 机 使 用 好 几 个 0S8， 不 但 方便 ， 而 且 安全 。 虚 拟 机 在 学 习 技术 
方面 能 够 发 挥 很 大 的 作用 。 


Le | 提示 : 常用 的 虚拟 机 软件 有 : VMware 6.02、 微 软 公司 的 Virtual PC 2007 和 Virtual Server 2005 R2。 在 
”Windows Server 2008 中 还 内 置 了 Hyper-V 虚拟 机 


2.4 Windows PE 介绍 


Windows Preinstallation Environment(Windows PE) 直 接 从 字面 上 翻译 就 是 “Windows 预 安装 环境 ”， 
微软 在 2002 年 7 月 22 日 发 布 ， 它 的 原文 解释 是 : “Windows 预 安装 环境 [Windows PE) 是 带 有 限 服务 的 
最 小 Win32 子 系统 ， 基 于 以 保护 模式 运行 的 Windows XP Professional 内 核 。 它 包括 运行 Windows 安装 程 
序 及 脚本 、 连 接 网 络 共享 、 自 动 化 基本 过 程 以 及 执行 硬件 验证 所 需 的 最 小 功能 。” 换 句 话说 , 可 把 Windows 
PE 看 作 是 一 个 只 拥有 最 少 核心 服务 的 Mini 操作 系统 。 微 软 推出 这 样 一 个 操作 系统 当然 是 因为 它 拥有 与 众 
不 同 的 系统 功能 ， 如 果 用 一 句 话 来 解释 ， 可 以 说 与 Windows 9x/2000/XP/Vista 相 比 ，Windows PE 的 主要 
不 同 点 就 是 : 它 可 以 自 定义 制作 自身 的 可 启动 副本 ， 在 保证 用 户 需 要 核心 服务 的 同时 保持 最 小 的 操作 系统 
体积 ， 同 时 它 又 是 标准 的 32 位 视窗 API 的 系统 平台 。 

Windows PE 的 作用 如 下 。 

1. 方便 易 用 的 启动 工具 盘 

Windows PE 启动 相当 快捷 ， 而 且 对 启动 环境 要 求 不 高 ; 最 可 贵 的 是 ， 虽然 名 为 启动 盘 ， 其 功能 却 几 乎 
相当 于 安装 了 一 个 Windows XP 的 “命令 行 版 本 ”。 因 此 ， 对 于 个 人 计算 机 用 户 ， 只 要 将 其 刻录 在 一 张 光 
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盘 上 ， 便 可 放心 地 去 解决 初始 化 系统 之 类 的 问题 而 对 小 型 网 络 环境 (如 网 吧 等 ] 用 户 来 说 ， 这 一 功能 尤其 
实用 。 


2. 有 趣 的 硬盘 使 用 功能 
Windows PE 提供 如 下 几 方 面 的 硬盘 使 用 功能 。 


于 蔡 换 系 统 文件 。 可 以 蔡 换 原始 安装 媒体 上 的 损坏 文件 。 例 如 ， 如 果 损 坏 的 系统 文件 妨碍 了 计算 机 
启动 ， 则 可 以 使 用 Windows PE 来 启动 计算 机 ， 然 后 蔡 换 Windows Vista 媒体 中 的 损坏 文件 。 
m ”在 重新 安装 Windows 之 前 恢复 数据 .Windows PE 提供 对 FAT 和 NTFS 文件 系统 的 完全 访问 权限 。 
在 必须 更 换 或 重新 格式 化 硬盘 的 情况 下 , 可 以 首先 用 Windows PE 启动 计算 机 ， 然 后 将 重要 文件 复 
制 到 另 一 个 磁盘 或 共享 文件 夹 中 。 应 注意 ,利用 “加 密 文件 系统 ”(EFS) 加 密 的 文件 不 易 被 恢复 。 
”运行 诊断 和 配置 工具 。Windows PE 包括 常用 的 命令 行 诊断 工具 。 用户 还 可 以 在 Windows PE 内 运 
行 其 他 标准 和 自 定义 Windows 故障 排除 工具 。 内 置 工具 包括 以 下 几 种 。 
。 Diskpart: 文本 模式 的 命令 解释 程序 ， 它 允许 用 户 通 过 命令 提示 符 或 脚本 来 管理 磁盘 、 分 区 或 
卷 。 
。 Drvload: 用 户 可 使 用 drvload 命令 将 设备 驱动 程序 (如 音频 、 视 频 和 母 板 芯片 集 ] 添 加 到 
Windows PE 映像 中 。 在 Windows PE 已 经 启动 后 ， 还 可 使 用 drvload 动态 加 载 驱动 程序 。 
。 NetNet: 命令 行 工具 ,允许 用 户 管理 本 地 用 户 数据 库 、 启 动 和 停止 服务 以 及 连接 共享 文件 夹 。 
。 ”Netcfg: 该 网 络 配置 工具 可 配置 网 络 访问 。 当 将 Windows PE 作为 自 定义 部 署 工 具 使 用 时 ， 
用 户 可 能 会 使 用 Netcfg 将 网 络 设置 作为 部 分 启动 脚本 来 手动 配置 。 


2.5 实战 : 在 虚拟 机 中 安装 Windows Server 2008 企业 版 


任务 描述 
以 下 将 演示 如 何 安装 Windows Server 2008 企业 版 并 完成 初始 化 任务 ， 能 够 联机 激活 操作 系统 。 该 操 


作 在 VMWare Workstation 6.02 虚拟 机 中 完成 。 


实战 环境 


于 VMware 6.02 软件 

和 ”Windows Server 2008 安装 光盘 的 10S 文件 

于 ”能够 连接 到 Internet 

实战 目标 

于 ”学 会 使 用 虚拟 机 

里 学 会 安装 Windows Server 2008 企业 版 操作 系统 
于 ”能够 完成 初始 化 任务 配置 

里 ”能够 使 用 虚拟 机 软件 创建 快照 

于 ”能够 克隆 操作 系统 


2.5.1 任务 1: 创建 虚拟 机 和 配置 
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Q@ 运行 VMWare Workstation 软件 。 单 击 New Virtual Machine 按钮 ， 然 后 单 击 “ 下 一 步 ” 按 钮 。 


回 如 图 2-1 所 示 ， 在 New Virtual Machine Wizard 界面 中 ， 选 中 Typical 单 选 按钮 ， 单 击 “ 下 一 步 ” 
按钮 。 

@ ”如 图 2-2 所 示 ， 在 Select a Guest Operating System 界面 中 ， 选 中 Microsoft Windows 单 选 按钮 ， 
Version 下 拉 列 表 框 中 选择 Windows Server 2008 选项 ， 单 击 “ 下 一 步 ”按钮 。 


Oe be Ee En 


FE [了 


图 2-1 选择 恰当 的 配置 图 2-2 选择 要 安装 的 操作 系统 


@ 如 图 2-3 所 示 ， 在 出 现 的 Name the Virtual Machine 设置 界面 中 ， 指 定 虚拟 机 的 名 称 和 存储 位 置 。 
应 注意 存储 位 置 所 在 的 磁盘 空间 一 定 要 有 10 GB 大 小 的 空间 ， 然 后 单 击 “ 下 一 步 ” 按 钮 。 

加 如 图 2-4 所 示 , 在 出 现 的 Network Type 设置 界面 中 , 设置 网 络 类 型 , 选中 Use bridged networking 
单 选 按钮 ， 单 击 “ 下 一 步 ” 按 钮 。 


En 了 和 


图 2-3 指定 虚拟 机 的 名 称 和 位 置 图 2-4 设置 网 络 类 型 


| 提示 : 

”加 bridge: 如 果 你 的 主机 在 一 个 以 太 网 上 ， 这 通常 是 让 你 的 虚拟 机 访问 该 网 络 的 最 容易 的 方式 。 使 用 枚 
接 网 络 ， 庶 拟 机 在 同一 个 物理 以 太 网 上 显示 为 和 主机 一 样 的 一 台 额 外 的 计算 机 。 显然 ， 一 台 使 用 桥接 
网 络 的 座 拟 机 可 以 使 用 在 它 桥接 到 的 网 络 上 的 任何 可 用 服务 ， 包 括 : 文件 服务 器 、 打 印 机 、 网 关 等 。 
同样 ， 使 用 桥接 网 络 配置 的 任何 物理 计算 机 或 者 其 他 诬 拟 机 可 以 使 用 该 虚拟 机 的 资源 。 

四 Hostonly: 一 种 网 络 连 接 类 型 ， 庶 拟 机 通过 它 在 一 个 庶 拟 私有 网 络 上 被 连接 到 主机 操作 系统 ， 正 常情 况 
下 ， 它 对 于 主机 外 部 是 不 可 见 的 。 可 以 在 同一 台 主机 上 使 用 仅 为 主机 网 络 配置 的 多 台 庶 拟 机 并 运行 在 
同一 个 网 络 上 . 

时 nat 方式: 如 果 起 使 用 主机 的 拨号 网 络 和 连接 连接 到 Intemet 或 者 其 他 TCP/IP 网 络 ， 而 又 不 能 在 外 部 
网 络 上 给 定 虚 拟 机 一 个 王 地 址 ， 这 通常 是 让 你 的 虚拟 机 访问 该 网 络 的 最 容易 的 方式 . 座 所 机 在 外 部 网 
络 上 不 拥有 它 自 己 的 三 地 址 ; 相反 ,在 主机 上 安装 有 一 个 单独 的 私有 网 络 . 座 拟 机 从 VMware 虚拟 
DHCP 服务 器 上 获取 该 网 络 的 一 个 地 址 。 
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@ ”如 图 2-5 所 示 ， 在 出 现 的 Specify Disk Capacity 设置 界面 中 ， 指 定 磁盘 大 小 为 40 GB， 完 成 向 导 。 


2-5 ”指定 磁盘 容量 


提示 : 选择 4000 MB 的 大 小 应 该 足够 容纳 用 户 操作 系统 和 想 在 虚拟 机 中 安装 的 所 有 软件 ， 也 为 数据 和 今 
”后 的 增长 预 留 了 空间 。 没 有 办 法 在 以 后 增 大 这 个 数字 ， 不 过 ， 如 果 你 用 完了 这 台 虚 拟 机 的 空间 ， 则 可 以 
使 用 配置 编辑 器 安装 额外 的 虚拟 磁盘 。 
如 果 存 放 虚 拟 机 的 磁盘 是 FAT 分 区 ， 会 自动 将 磁盘 文件 分 割 为 多 个 2 GB 文件 。 


@ 如果 选中 Allocate all disk space now 复 选 框 ， 则 立即 占用 磁盘 40 GB 的 空间 。 


2.5.2 任务 2: 在 虚拟 机 中 安装 Windows Server 2008 企业 版 


@ 如 图 2-6 所 示 , 单 击 Edit virtual machine settings 选项 , 设置 光驱 , 选中 Use ISO image 单 选 按钮 ， 
指向 Windows Server 2008 安装 盘 的 1S0 文件, 如 果 有 安装 光盘 , 就 将 安装 盘 放 入 光驱 , 选中 Use 
physical diver 单 选 按钮 。 

@ 单 击 辽 按钮 启动 系统 。 会 出 现 如 图 2-7 所 示 的 提示 , 这 是 因为 物理 机 上 没有 软驱 所 致 。 单 击 Yes 
按钮 ， 继 续 。 


图 2-6 编辑 虚拟 机 设置 图 2-7 提示 不 能 连接 虚拟 软盘 


图 如 图 2-8 所 示 ， 在 出 现 的 Windows 安装 界面 中 ， 保 持 默认 选择 ， 单 击 “ 下 一 步 ” 按 钮 。 
图 如 图 2-9 所 示 ， 单 击 “ 现 在 安装 ”按钮 。 
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2-8 ”Windows 安装 界面 2-9 安装 Windows Server 2008 


回 如 图 2-10 所 示 ， 选 择 要 安装 的 操作 系统 版 本 Windows Server 2008 Enterprise( 完 全 安装 ) 选 项 ， 
单 击 “下 一 步 ” 按 钮 。 

在 出 现 的 许可 协议 条 款 中 ， 选 中 “我 接受 许可 条 款 ” 单 选 按钮 ， 单 击 “ 下 一 步 ”按钮 。 

@ 如 图 2-11 所 示 ， 在 出 现 的 安装 类 型 界面 中 ， 单 击 “ 自 定义 (高 级 )” 按 钮 。 


是 昌国 四 机 起 号 而 书证 并 四面 加 | 品 占 | 


ET 
i 证 ms 


有 加 ra ee 


图 2-10 选择 要 安装 的 操作 系统 版 本 图 2-11 选择 安装 类 型 


如 图 2-12 所 示 ， 选 择 将 操作 系统 安装 在 何 处 ， 如 果 直 接 单 击 “ 下 一 步 ”按钮 ， 将 整个 磁盘 创建 成 
一 个 分 区 ， 并 安装 操作 系统 。 单 击 “ 驱 动 器 (高 级 ”按钮 ， 可 以 创建 磁盘 分 区 ， 选 择 安装 的 位 置 。 
如 图 2-13 所 示 ， 单 击 “新 建 ”按钮 ， 可 以 在 这 块 硬盘 上 创建 新 的 磁盘 分 区 。 

@@ 如 图 2-14 所 示 ， 指 定 分 区 大 小 为 20000 MB， 单 击 “ 应 用 ”按钮 。 

@@ 如 图 2-15 所 示 ， 选 择 刚 才 创 建 的 分 区 ， 单 击 “ 下 一 步 ” 按 钮 。 复 制 文件 ， 开 始 安装 ， 自 动 重启 ， 
四 


完成 安装 。 

剩 下 的 时 间 你 就 可 以 去 干 别 的 事情 了 ， 等 半 小 时 左右 系统 即 可 装 好 。 在 此 期 间 不 需要 像 安装 
Windows 其 他 版 本 一 样 ， 需 要 输入 计算 机 名 字 、ProductID， 设 置 管理 员 密 码 、IP 地 址 等 信息 ， 
这 些 任务 已 经 放 到 安装 后 的 初始 化 任务 中 了 。 


CSL 


@ Windows Server 2008 “YS 


| mie Bm vee ww mam we Whoms rb - mm Em Yew WW Ton sc Wotows rp 
[ET TE lll=| Ler WL MCT lsl=) 


图 2-12 选择 安装 位 置 图 2-13 新 建 磁盘 分 区 


一 一 一 一 En | 
Pr WP TT fell: 
re) 


om PT 
mvent Arm mh FE 寺 = 国 梧 而 辣 


FET TTT TT 
图 2-14 指定 分 区 大 小 图 2-15 选择 安装 位 置 


2.5.3 任务 3: 完成 初始 化 任务 


注意 : 登录 虚拟 机 需要 按 CtrlhAlttInsert 组 合 键 ， 不 能 使 用 Ctrl+Alt+Del 组 合 键 。 光 标 进入 虚拟 机 窗口 ， 
要 想 将 光标 从 虚拟 机 窗口 中 释放 出 来 ， 需 要 按 Ctrl+Alt 组 合 键 。 


@ 安装 完成 后 ， 如 图 2-16 所 示 ， 单 击 “ 确 定 ”按钮 ， 更 改 管理 员 密码 。 
@ ”如 图 2-17 所 示 ， 输 入 新 密码 ， 单 击 国 护 钮 应 用 新 密码 。 


© 注意 ; 新 密码 必须 满足 长 度 复杂 性 和 要求。 比如 使 用 类 似 于 这 样 的 密码 p@ssw0rd， 这 个 密码 中 有 字符 、 数 


字 和 特殊 符号 ， 还 必须 是 7 位 以 上 。 这 样 的 密码 才能 满足 策略 要 求 ， 如 果 是 单纯 的 字符 或 数字 ， 不 管 你 
的 密码 设置 多 长 都 不 会 满足 密码 策略 要 求 。 
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图 2-16 用 户 首次 登录 之 前 必须 更 改 密码 图 2-17 输入 新 密码 


@ 首次 登录 后 ， 出 现 初始 任务 界面 如 图 2-18 所 示 。 如 果 没 有 出 现 该 界面 ， 选 择 “ 开 始 ”一 “运行 ” 
命令 ， 输 入 oobe， 单 击 “确定 ”按钮 ， 也 可 以 打开 初始 化 任务 。 

@ 如 图 2-18 所 示 ， 单 击 “ 配 置 网 络 ” 选项 ， 在 出 现 的 “网 络 连接 ”对 话 框 中 右 击 “ 本 地 连接 ”选项 ， 
在 弹出 的 “本 地 链接 状态 ”对 话 框 中 单 击 “属性 ”按钮 ， 如 图 2-19 所 示 。 


前 执行 以 下 任务 以 开始 取 守 此 服务 器 
入 担 代 计 让 人 信息 
A 林芝 
EE es 2 
@ eit 时 5 Ee 
忠 时 而 WE 党 加 更 天 天 限 - 0 pops 
皮 汤 Di LL 
Tern Er Ee 
全 1 二 义 此 服务 器 CE ax 一 Ms — eax 
区 saew ae 天 #8: i 
局 hi 天 g 页 Mg | 四 
攻 ga | 
A [EE ECE 
图 2-18 初始 化 任务 对 话 框 图 2-19 更 改 本 地 连接 
回 ”在 如 图 2-20 所 示 的 对 话 框 中 ， 取 消 对 IPv6 的 支持 ， 选 中 “Internet 协议 版 本 4(TCP/IPv4)”， 
单 击 “ 属 性 ”按钮 。 
@ 如 图 2-21 所 示 ， 出 现 “Internet 协议 版 本 4(TCP/IPv4] 属 性 ”对 话 框 ， 更 改 IP 地 址 ， 单 击 “ 确 定 ” 
按钮 。 
@ 单 击 初始 化 任务 界面 上 的 “提供 计算 机 名 和 域 ”选项 ， 如 图 2-22 所 示 ， 出 现 “系统 属性 ”对 话 框 ， 
单 击 “ 更 改 ” 按 钮 。 
如 图 2-23 所 示 ， 在 出 现 的 “计算 机 名 / 域 更 改 ” 对 话 框 中 ， 输 入 计算 机 名 称 ， 单 击 “ 确 定 ”按钮 。 
@ ”提示 重启 才能 生效 ， 最 后 单 击 “ 立 即 重启 ”按钮 即 可 。 
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发 现 映射 器 I/0 驱动 程序 
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| 半 造 DNS 服务 器 多) a  | 
F 一 一 一 


人 自动 天 了 mis 肥 务 器 地 站) 
人 使 用 下 面 的 DRS 服务 器 地 址 | 


而 织 四 
a 
2-20 ”选中 TCP/IP 协议 图 2-21 更 改 TCP/IP 属性 
EEE3 
守 笋 机 大 | 硬件 | 高 如 | 还 得 | 
er AAT A 
i [ 
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计算 机 全 条- or Emon 
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其 地 中 
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个 域外 : 
并 一 一 一 一 一 一 
工作 朋 们 : 
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图 2-22 更 改 系 统 属性 图 2-23 更 改 计算 机 名 和 所 属 的 工作 组 


2.5.4 任务 4: 配置 系统 自动 更 新 和 启用 远程 桌面 


运行 Windows Update 后 ， 可 以 对 产品 上 市 后 发 现 的 故障 进行 修正 、 下 载 新 增加 的 功能 ， 对 Windows 
进行 更 新 。 

什么 是 远程 桌面 

当 某 台 计 算 机 开启 了 远程 桌面 连接 功能 后 用 户 就 可 以 在 网 络 的 另 一 端 控制 这 台 计 算 机 了 ， 通 过 远程 桌 
面 功 能 可 以 实时 地 操作 这 人 台 计 算 机 ， 在 上 面 安装 软件 ， 运 行程 序 ， 所 有 的 一 切 都 如 同 直接 在 该 计算 机 上 操 
作 。 这 就 是 远程 桌面 的 最 大 功能 ， 通 过 该 功能 网 络 管理 员 可 以 在 家 中 安全 地 控制 单位 的 服务 器 ， 而 且 由 于 
该 功能 是 系统 内 置 的 ， 所 以 比 其 他 第 三 方 远程 控制 工具 使 用 更 方便 、 更 灵活 。 

启用 远程 桌面 ， 不 需要 购买 远程 桌面 连接 许可 ， 但 只 能 同时 建立 两 个 远程 桌面 会 话 。 

GO 按 Ctrl+AltrInsert 组合 键 ， 输 入 账户 和 密码 登录 虚拟 机 。 

@ 在 初始 化 任务 中 ， 单 击 “ 下 载 并 安装 更 新 ”选项 ， 在 出 现 的 Windows Update 界面 中 单 击 “ 更 改 
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设置 ”选项 ， 如 图 2-24 所 示 。 


© 


如 图 2-25 所 示 ， 选 中 “自动 安装 更 新 (推荐 )” 单 选 按钮 在 “推荐 更 新 ”中 选中 
通知 更 新 时 包括 推荐 的 更 新 ” 复 选 框 ， 单 


四 


抹 ”按钮 。 
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图 2-24 配置 Windows Update 图 2-25 设置 自动 更 新 
@ ”如 图 2-26 所 示 ， 单 击 “ 查 看 更 新 历史 记录 ”选项 ， 单 击 “ 查 看 可 用 更 新 ”按钮 。 


如 图 2-27 所 示 , 在 初始 化 对 话 框 中 , 单 击 “ 启 用 远程 桌面 ”按钮 , 在 随后 打开 的 对 话 框 中 选中 “人 允 


许 运 行 任意 版 本 远程 桌面 的 计算 机 连接 ( 较 不 安全 )” 单 选 按 钮 。 单 击 “ 确 定 ” 按 钮 ， 远 程 计算 机 
即 可 使 用 远程 桌面 客户 端 连接 到 该 服务 器 。 
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图 2-26 查看 更 新 历史 记录 
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四 中 


2-27 ”启用 远程 桌面 


选择 “开始 ”一 “运行 ”命令 ， 输 入 cmd， 打 开 命 令 行 ， 输 入 netstat -a， 如 图 2-28 所 示 。 此 时 


能 够 查看 启用 远程 桌面 后 打开 的 端口 3389， 表 明 其 他 计算 机 可 以 通过 远程 桌面 连接 过 来 了 。 
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查看 远程 桌面 打开 的 端口 
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@ 如 图 2-29 所 示 ， 在 命令 行 中 输入 net user han al!/add， 创 建 用 户 。 
@@ 输入 netlocalgroup “remote desktop users” han/add， 将 用 户 加 入 到 远程 桌面 组 。 


|Gj 交 | 


lc: Wsers\Adninistrator 


图 2-29 创建 用 户 将 用 户 添加 到 remote desktop users 组 


(@) 注意 : 将 用 户 添加 到 remote desktop users 组 ， 该 用 户 就 能 使 用 远程 桌面 连接 到 该 服务 器 了 。 


@ 选择 “开始 ”一 “运行 ”命令 ,输入 mstsc， 打 开 远 程 桌 面 客 户 端 。 

@ 如 图 2-30 所 示 ， 输 入 该 计算 机 的 IP 地 址 或 计算 机 名 ， 单 击 “ 连 接 ” 按 钮 。 

四 ”如 图 2-31 所 示 ， 在 出 现 的 “Windows 安全 ”对 话 框 中 ， 输 入 账户 han， 密 码 al!。 这 样 即 可 使 不 
同 的 用 户 同时 登录 同一 台 计算 机 了 。 


ve 安全 EE 


第 入 六 的 竺 据 
这 名 玫 所 村 用 于 这 接 10 7.10. 1c2 


计划 机 上 | Es 
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当 您 这 时 村 向 和 调任 所 7 Gea 
Cv ] ms 村 助 Q) | 选 而 ) 六 FE 取消 
图 2-30 远程 桌面 客户 端 图 2-31 远程 桌面 网 络 级 身份 验证 


2.5.5 任务 5: 配置 Windows 防火 墙 和 激活 服务 器 


防火 墙 可 以 是 软件 , 也 可 以 是 硬件 , 它 能 够 检查 来 自 Internet 或 
网 络 的 信息 ， 然 后 根据 防火 墙 设置 阻止 或 允许 这 些 信息 通过 计算 机 。 


了 2 3 
防火 墙 有 助 于 防止 或 恶意 软件 (如 蠕虫 ) 通 过 网 络 或 RT 
Internet 访问 计算 机 。 防火 墙 还 有 助 于 阻止 计算 机 向 其 他 计算 机 发 送 和 
恶意 软件 。 Ly 
Ne 
图 2-32 所 示 ， 显 示 了 防火 墙 的 工作 方式 。 计算 机 
1. 配置 Windows 防火 墙 


Q@ 单 击 初 始 化 任务 界面 上 “配置 Windows 防火 墙 ”选项 。 
@@ ”如 图 2-33 所 示 ， 在 出 现 的 “Windows 防火 墙 ” 对 话 框 中 ， 
单 击 “ 更 改 设置 ”按钮 , 可 以 启用 防火 墙 , 也 可 关闭 防火 墙 。 


图 2-32 Windows 防火 墙 的 工作 方式 
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2-33 ”Windows 高 级 防火 墙 


@ 如 图 2-34 所 示 ， 切 换 到 “例外 ”选项 卡 ， 可 以 开放 一 些 端口 ， 或 允许 一 些 程序 侦 听 网 络 请 求 。 比 
如 用 户 的 计算 机 对 外 提供 Web 服务 ， 则 需要 单 击 “添加 端口 ”指定 协议 以 及 服务 所 侦 听 的 端口 ， 
单 击 “更 改 范围 ”按钮 ， 可 以 指定 哪些 地 址 段 的 计算 机 能 够 访问 该 端口 。 


注意 : 常用 端口 ， 包 括 访问 共享 文件 夹 使 用 TCP 的 445 端口 ， 远 程 桌面 协议 (RDP) 使 用 TCP 的 3389 端 
口 ， 访问 Web 站 点 (HTTP) 使 用 TCP 的 80 端口 ， 访 问安 全 的 Web 站 点 (HTTPS) 使 用 TCP 的 443 端口 ， 
域名 解析 (DNS) 使 用 UDP 的 53 端口 ， 发 送 电子 邮件 (SMTP) 使 用 TCP 的 25 端口 ， 接 收 电子 邮件 (POP3) 
使 用 TCP 的 110 端口 。 


@@ ”如果 用 户 不 知道 应 用 程序 用 的 是 什么 端口 ， 单 击 “添加 程序 ”按钮 ， 可 以 直接 添加 应 用 程序 ， 
如 图 2-35 所 示 。 
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图 2-34 设置 防火 墙 例外 图 2-35 添加 应 用 程序 


名 提示 : 如 图 2-36 所 示 如 果 选 择 了 启用 防火 墙 ， 也 选中 了 “阻止 所 有 传 入 连接 ” 复 选 框 ， 则 其 他 计算 机 主动 

访问 这 台 计算 机 的 请 求 都 将 被 拒绝 ， 这 就 相当 于 该 计算 机 在 网 上 隐身 了 ， 但 并 不 影响 这 台 计算 机 访问 其 他 
计算 机 。 

回 切换 到 “高 级 ”选项 卡 ， 如 果 用 户 的 计算 机 有 多 个 网 卡 ， 可 以 指定 防火 墙 应 用 到 哪些 网 卡 。 如 
图 2-37 所 示 “ 本 地 连接 ”将 不 应 用 防火 墙 设置 。 

2. 激活 服务 器 


新 安装 的 Windows Server 2008 必须 激活 才能 正常 使 用 。 下 面 将 演示 如 何 联机 激活 Windows Server 
2008。 操 作 系统 必须 连接 到 Internet 才能 联机 激活 。 


| 


@ 系统 管理 之 首 


2-36 ”Windows 防火 墙 设置 图 2-37 设置 防火 墙 应 用 到 的 网 络 连 接 


3. 联机 激活 Windows Server 2008 


@ 如 图 2-38 所 示 ， 选 择 “ 开 始 ” 一 “控制 面板 ”一 “系统 ”命令 ， 弹 出 “系统 ”对 话 框 ， 单 击 “ 更 
改 产品 密 钥 ”按钮 。 
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图 2-38 更 改 产 品 密 钥 


@ 如 图 2-39 所 示 ， 输 入 产品 密 钥 ， 单 击 “ 下 一 步 ”按钮 。 
@ 如 图 2-40 所 示 ， 提 示 联 机 激活 成 功 ! 


图 2-39 输入 产品 密 钥 图 2-40 激活 成 功 
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2.6 实战 : 虚拟 机 的 常规 设置 


任务 描述 
学 会 虚拟 机 的 常规 设置 ,包括 安装 VMWare Tools, 给 虚拟 机 添加 /删除 硬件 ,调整 虚拟 机 的 内 存 大 小 ， 
调整 网 卡 连接 状态 ， 能 够 为 安装 好 的 系统 做 快照 ， 能 够 克隆 新 的 操作 系统 。 
实战 环境 
在 虚拟 机 中 装 好 Windows Server 2008 企业 版 的 操作 系统 。 
实战 目标 
学 会 安装 VMWare Tools 
添加 /删除 硬件 
调整 内 存 大 小 
设置 网 卡 连接 状态 
能 够 给 配置 好 的 系统 做 快照 
能 够 使 用 装 好 的 系统 克隆 新 的 系统 


2.6.1 任务 1: 安装 VMWare Tools 


在 构造 一 台 虚 拟 机 时 ， 这 个 安装 过 程 是 第 一 步 并 且 是 唯一 必需 的 一 步 。 但 是 ，VMware 强烈 建议 你 在 
每 一 台 虚 拟 机 中 完成 操作 系统 安装 之 后 立即 安装 VMware Tools 套件 。 在 客户 操作 系统 中 安装 VMware 
Tools 非常 重要 。 如 果 你 不 安装 VMware Tools， 虚 拟 机 中 的 图 形 环境 被 限制 为 VGA 模式 图 形 (640x480， 
16 色 )。 

使 用 VMware Tools，SVGA 驱动 程序 被 安装 。VMware Workstation 支持 最 高 32 位 显示 和 高 显示 分 
辨 率 ， 显 著 提 升 总 体 的 图 形 性 能 。 

工具 包 中 的 其 他 工具 通过 支持 下 面 的 增强 让 用 户 更 方便 地 使 用 虚拟 机 。 注 意 ， 只 有 正在 运行 VMware 
Tools 时 ， 这 些 增强 才 可 用 。 

”在 主机 和 客户 机 之 间 同 步 时 间 


注释 : 只 有 当 用 户 在 客户 操作 系统 中 设置 时 钟 为 一 个 比 在 主机 中 设置 的 时 间 更 早 的 时 间 时 ， 才 可 以 在 客 
户 和 主机 操作 系统 之 间 同 步 时 间 。 


和 自动 捕获 和 释放 光标 

在 主机 和 客户 机 之 间或 者 从 一 台 虚 拟 机 到 另 一 台 虚 拟 机 进行 复制 和 粘贴 操作 

改善 的 网 络 性 能 

按 Ctrl+Alt+Insert 组 合 键 ， 输 入 账户 和 密码 登录 虚拟 机 。 

如 图 2-41 所 示 ， 选 择 VM 一 Install VMware Tools 命令 。 

如 图 2-42 所 示 ， 在 出 现 的 “自动 播放 ”对 话 框 中 单 击 “ 运 行 setup.exe”， 安 装 完 后 重启 。 如 果 
没有 出 现 对 话 框 ， 单 击 虚拟 机 的 光驱 ， 也 可 出 现 该 对 话 框 。 


因 四 日 
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© mr 系统 管理 之 道 


O Wndows Server 2008 - Vare Worksiadon ACE Edion 


Or 0) wee Ios 


厂 如 各 为 软件 和 和 开机 行 此 妆 作 : 
> 


2-41 安装 VMware Tools 2-42 直接 运行 安装 程序 


[| 提示 : 自动 捕获 和 释放 光标 ， 不 需要 按 Ctrl+Alt 组 合 键 。 


@ ”验证 安装 VMware Tools 后 的 效果 ， 在 主机 和 客户 机 之 间或 者 从 一 台 虚 拟 机 到 另 一 台 虚 拟 机 进行 
复制 和 粘贴 操作 ， 如 图 2-43 所 示 ， 可 以 将 物理 机 的 文件 直接 拖 进 虚拟 机 系统 中 。 


Te ME Wodow rep 
朋 国 妇 5 名 加 | 


2-43 ”物理 机 和 虚拟 机 之 间 能 够 拖 鬼 复制 文件 


2.6.2 任务 2: 更 改 计算 机 的 硬件 设置 

在 测试 环境 中 ,可 能 需要 虚拟 计算 机 有 多 个 网 卡 ， 调 整 虚拟 机 的 内 存 , 给 虚拟 机 添加 多 个 硬盘 等 操作 。 
下 面 的 操作 将 会 更 改 虚拟 机 的 硬件 。 

Q@ 单 击 国 按 钮 ， 关 闭 计算 机 。 


问 提示 : 只 有 关闭 计算 机 才能 添加 /删除 硬件 。 


@ 如 图 2-44 所 示 ， 双 击 Memory 选项 ， 可 以 调整 内 存 大 小 。 
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加 如 图 2-45 所 示 ， 单 击 Edit VirtualMachine settings， 在 出 现 的 Virtual Machine Settings 对 话 框 中 ， 
单 击 Add 按钮 ， 在 出 现 的 Hardware Type 对 话 框 中 ， 选 择 Hard Disk 选项 ， 单 击 Next 按钮 。 
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2-44 ”调整 内 存 大 小 


Select a Disk 
Which dsk do you want tha dive to use? 


Dek 
cae anen TD 
A vual disk is composed of one or more fles on the host fle system,, 


appear aa single hard dsk to the guest operatng system. Yrtual dks 
easly be copied or moved onthe same host or between hods， 


wl 


© Use an goding vitual dsk 
Chocee thie option to rause a proviously corfigurod dak 


© Use a ohyseal dk foradvanced uners) 
Chocse this option to gve the vitual machine drect accessto a lccal hard disk. 


2-46 创建 新 的 磁盘 


到 | 


2-45 ”添加 磁盘 


Saled a Disk Type 
What knd of disk dh you want to ceate7 


2-46 所 示 ， 在 出 现 的 Selecta Disk 界面 中 ， 选 中 Create a new virtual disk 单 选 按 钮 。 
2-47 所 示 ， 在 出 现 的 Select a Disk Type 界面 中 ， 选 中 IDE 单 选 按 钮 ， 单 寺 


ff Next 按钮 。 


2-47 ”选择 磁盘 类 型 


提示 : IDE、SATA 是 普通 计算 机 使 用 的 硬盘 ， 目 前 SATA2 是 主流 速度 比 IDE 快 ，IDE 几乎 要 淘汰 了 。 
SCIS、SAS 都 是 服务 器 或 者 工作 站 所 使 用 的 硬盘 类 型 ，SCIS 目前 还 是 主流 ， 有 独立 的 控制 器 ， 对 系统 资 
源 占用 极 少 ， 但 很 贵 。SAS 将 会 逐步 取代 SCIS， 目 前 ， 中 高 端的 服务 器 一 般 都 采用 SAS 硬盘 ， 价 格 昂 
责 。 关 于 存储 设备 的 更 深 研究 ， 可 参考 清华 大 学 出 版 社 出 版 的 《大 话 存储 一 一 网 络 存储 系统 原理 精 解 与 


最 佳 实践 》。 


@ 如 图 2-48 所 示 ， 指 定 第 二 块 磁盘 文件 的 名 字 ， 单 击 Next 按钮 。 

@ ”如 图 2-49 所 示 ， 指 定 磁盘 大 小 ， 单 击 Finish 按钮 。 

图 单 击 Edit Virtual Machine settings， 单 击 Add 按钮 ， 如 图 2-50 所 示 ， 在 出 现 的 Hardware Type 界 
面 中 ， 选 择 Ethernet Adapter 选项 ， 单 击 Next 按钮 。 

加 如 图 2-51 所 示 ， 在 出 现 的 Network Type 界面 中 ， 选 中 Bridged 单 选 按钮 ， 单 击 Finish 按钮 。 
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2-49 ”指定 磁盘 的 大 小 
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2-51 指定 网 络 类 型 


如 图 2-52 所 示 ， 单 击 Edit Virtual Machine Settings， 选 中 floppy， 单 击 Remove 按钮 。 
四 如 图 2-53 所 示 ， 选 择 Sound Adapter 选项 ， 单 击 Remove 按钮 。 
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图 2-52 删除 软驱 图 2-53 ”删除 声卡 


@” 单 击 防 按 钮 ， 启 动 虚拟 机 。 按 Ctrl+Alt+Insert 组 合 键 登录 虚拟 机 操作 系统 。 
@” 状 录 后 ， 单 击 | 图 当 | 加 要 一 掖 钮 ， 如 图 2-54 所 示 ， 打 开 服务 器 管理 器 ， 单 击 “ 磁 盘 管 理 ” 选 项 ， 


能 够 看 到 新 加 的 硬盘 。 经 过 初始 化 ， 格 式 化 就 可 以 使 用 了 。 
四 选择 “控制 面板 ”一 “网 络 和 共享 中 心 ”命令 ， 打 开 如 图 2-55 所 示 的 窗口 。 此 时 ， 能 够 看 到 两 
个 连接 。 
| 
ET 


sa ee 


图 2-54 查看 添加 的 磁盘 图 2-55 查看 添加 的 网 卡 


全 ”选择 VM Removable Devices 命令 。 


人 @ ”此 时 ， 可 以 看 到 能 够 在 虚拟 系统 运行 的 情况 下 更 改 的 硬件 ， 如 图 2-56 所 示 ， 选 择 Ethernet 一 
Disconnect 命令 ， 断 开 网 络 连接 ， 相 当 于 拔 掉 网 线 。 


| 提示 : 可 以 配置 CD-ROM 使 用 物理 光驱 或 使 用 ISO 文件 ， 也 可 以 断 开 CD-ROM 连接 ， 相 当 于 取出 光盘 。 


思 ”如 图 2-57 所 示 ， 断 开 CD-ROM 和 Ethernet 连接 ， 双 击 光 驱 打 不 开 ， 网 卡 显示 红 又 ， 光 驱 显 示 
红 叉 。 


| 
Nn We Sm A WW | 


Y Audio (Auto detect) a 
CD-ROM (IDE 1:0) ”| SS 
V Ethemet 上 Disconnect | 
US8 Devices ?1 En 
2-56 ” 断 开 网 络 连 接 或 编辑 CD-ROM 2-57 ”查看 虚拟 机 断 开 的 硬件 


2.6.3 任务 3: 为 安装 好 的 系统 做 快照 
快照 可 以 保存 操作 系统 的 多 个 状态 ,比如 刚刚 安装 完 操作 系统 后 做 个 快照 叫做 ClearSystem， 后 来 又 在 


虚拟 操作 系统 中 安装 了 SQL Server， 可 以 在 装 完 SQL Server 之 后 做 个 快照 叫做 SQL Server。 若 现在 需要 一 
个 干净 的 操作 系统 ， 则 可 以 恢复 到 快照 ClearSystem。 通 过 快照 可 以 回 到 不 同 的 状态 。 
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快照 是 消耗 磁盘 空间 的 ， 没 有 用 的 快照 可 以 删除 以 节省 空间 。 

克隆 系统 的 操作 步骤 如 下 。 

@ 关闭 虚拟 机 。 

@ 选择 VM 一 Snapshot 一 Snapshot Manager 命令 ， 在 出 现 的 快照 管理 对 话 框 中 ， 如 图 2-58 所 示 ， 单 
击 Take Snapshot 按钮 ， 输 入 快照 名 称 和 描述 。 可 以 做 多 个 快照 。 


2-58 ”创建 快照 


@ 还原 到 Clear System 状态 。 这 是 一 个 刚 安 装 完 系统 的 状态 。 

@ ”如 图 2-59 所 示 ， 打 开 快照 管理 选择 Clear System 快照 ， 单 击 Go To 按钮 。 
@ 在 弹出 的 提示 框 中 单 击 Yes 按钮 。 

@ 再 次 打开 快照 管理 。 如 图 2-60 所 示 ， 查 看 你 所 处 的 位 置 。 
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图 2-59 还原 到 某 个 快照 图 2-60 可 以 看 到 当前 状态 所 处 的 位 置 


@@ 如 图 2-61 所 示 ， 选 中 要 删除 的 快照 ， 单 击 Delete 按钮 。 
在 弹出 的 提示 对 话 框 中 单 击 Yes 按钮 。 如 图 2-62 所 示 ， 此 时 可 看 到 快照 被 删除 了 。 这 样 就 会 少 占 
用 一 些 磁盘 空间 。 
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第 2 章 安装 Windows Server 2008 


图 2-61 删除 快照 图 2-62 ”删除 快照 后 


2.6.4 任务 4: 克隆 出 多 个 系统 


在 以 后 的 学 习 中 ， 需 要 多 个 操作 系统 来 完成 实战 ， 如 果 已 经 安装 好 了 一 个 操作 系统 ， 就 可 以 克隆 出 多 
个 系统 ， 这 样 可 省 去 安装 操作 系统 的 过 程 。 通 过 创建 连接 克隆 ， 还 可 以 节省 磁盘 空间 ， 此 时 会 发 现 新 克隆 
出 来 的 系统 比 新 装 的 系统 占用 较 少 的 空间 。 

可 以 以 关闭 的 系统 克隆 出 新 系统 ， 或 者 以 关闭 系统 后 做 出 的 快照 为 基础 克隆 出 新 系统 ， 但 不 能 以 运行 
着 的 系统 做 的 快照 克隆 系统 。 

Q@ 关闭 虚拟 机 中 的 操作 系统 。 

@) 选择 VM 一 Snapshot 一 Snapshot Manager 命令 ,在 出 现 的 如 图 2-63 所 示 的 快照 管理 对 话 框 中 ， 单 

击 Clone 按钮 后 ， 单 击 “ 下 一 步 ”按钮 。 
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图 2-63 克隆 系统 


图 如 图 2-64 所 示 ， 在 出 现 的 Clone Source 界面 中 ， 选 中 An existing snapshot(powered off only) 单 
选 按钮 ， 单 击 “ 下 一 步 ”按钮 。 
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由 如 图 2-65 所 示 ， 选 中 Create a linked clone 单 选 按钮 ， 单 击 “ 下 一 步 ”按钮 。 


Clone Type 


hich state 和 you want to ereate a clone frm? Jo do you want to clone this virtaal nachine? 
Conefrom Qone mahod 
© The eument state nthe vitual machine Oo Dress 3 red oe 


Alinked clone is arcference to the ongnal vitual machineand requires less 


Cresing a inked done from the cunent state wl create a new snapshot ee 
本 machne 


Dn iting napshot Powered Ff or 


激活 了 的 干 争 系统， 什么 都 没 装 。 


© Create aful 
Nn eS ooo erpy do ope ina roche ea amet ae 
This witual machire is fuly ndevendent. bu equires more disk space to store. 


图 2-64 “使 用 快照 作为 源 图 2-65 创建 关联 的 克隆 
© 注意 : 创建 连接 的 克隆 ， 可 节省 磁盘 空间 。 如 果 原 始 虚 拟 机 不 能 访问 ， 则 克隆 出 来 的 系统 不 能 访问 


@ 如 图 2-66 所 示 ， 指 定 虚拟 机 的 位 置 和 虚拟 机 的 名 称 ， 单 击 “ 下 一 步 ”按钮 ， 完 成 克隆 。 
此 时 可 在 虚拟 集中 看 到 两 个 虚拟 机 操作 系统 , 如 图 2-67 所 示 。 这 两 个 虚拟 机 可 以 作为 单独 的 计算 
机 启动 。 


提示 : 但 是 会 出 现 计算 机 名 和 I 地址 冲突 问题 , 同时 计算 机 的 SID 也 一 样 . SID 的 全 称 是 “安全 标识 符 ” 
”(Security Identify)。 如 果 想 让 克隆 出 来 的 新 系统 产生 新 的 SID， 则 需要 执行 下 面 的 操作 。 


Re Tom ACE Wondows 
| 剑客 世人 i 四 冲 回 | 四 回回 
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图 2-66 ”指定 虚拟 机 的 名 称 和 位 置 图 2-67 克隆 出 来 的 系统 


单 击 匿 按钮 启动 克隆 出 来 的 新 系统 。 输 入 管理 员 账户 和 密码 登录 。 

如 图 2-68 所 示 ， 选 择 “开始 ”一 “运行 ”命令 ， 输 入 sysprep， 单 击 “ 确 定 ”按钮 。 

如 图 2-69 所 示 ,， 打开 C:\windows\system32\sysprep 目录 。 双 击 sysprep 选项 ， 选 择 如 图 ， 选 中 
“通用 ” 复 选 框 ， 单 击 “ 确 定 ” 按 钮 ， 关 机 。 

单 击 匿 按钮 启动 虚拟 机 操作 系统 。 如 图 2-70 所 示 ， 会 出 现 安装 时 的 界面 。 

如 图 2-71 所 示 ， 输 入 新 的 计算 机 名 称 ， 单 击 “ 开 始 ” 按 钮 。 


ee@ @@G 
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图 2-68 运行 sysprep 图 2-69 设置 通用 模式 


图 2-70 重新 封装 后 启动 图 2-71 输入 计算 机 名 称 


中 完成 之 后 ， 进 入 系统 要 求 重 设 管理 员 密码 。 
@@ 需要 重新 激活 ， 如 图 2-72 所 示 。 


2-72 ”需要 重新 激活 
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2.7 实战 : 安装 Windows Server Core 


Windows Server Core( 服 务 器 核心 ] 是 Windows Server 2008 新 的 默认 组 件 , 没有 资源 管理 器 [Windows 
外 壳 程序)， 仅 包含 简单 Console 窗口 和 一 些 管 理 窗口 ， 但 是 可 以 运行 MMC， 可 以 用 作 域 控制 器 活动 目录 
Active Directory、DNS 域名 解析 服务 器 、FTP 文件 服务 器 、Print 打印 服务 器 、Streaming Media 流 媒体 服 
务 器 或 Web 服务 器 等 。 它 的 特点 是 高 效 、 占 用 内 存 小 ， 相 对 安全 高 效 ， 类 似 没 有 安装 x-Window 的 Linux。 
不 推荐 普通 用 户 使 用 。 

Server Core 安装 为 用 户 提供 了 以 下 优势 。 

”减少 维护 ， 因 为 在 Server Core 版 本 中 用 户 只 是 安装 了 必 不 可 少 的 DHCP、 文 件 、DNS 以 及 活动 目 

录 这 些 基本 的 服务 器 角色 ， 这 样 就 比 安装 完整 的 Longhorn Server 减少 了 维护 系统 所 需 的 时 间 和 
精力 。 

”减少 攻击 面 : 由 于 Server Core 进行 的 是 最 小 的 安装 动作 , 所 以 就 保证 了 更 少 的 应 用 程序 运行 在 服 

务 器 上 ， 这 样 无 形 中 就 减少 了 服务 器 受 攻 击 的 可 能 。 
”减轻 管理 因为 更 少 的 应 用 程序 和 服务 被 安装 在 基于 Server Core 的 服务 器 上 ， 就 使 得 管理 方面 


的 开销 也 大 大 降低 。 
和 ”降低 硬件 需求 : Server Core 的 安装 只 需 大 约 800 MB 的 硬盘 空间 ， 快 速 安装 则 不 到 500 MB。 
任务 描述 


安装 Windows Server 2008 企业 版 核心 ,并 能 够 完成 常规 配置 ,在 命令 行 状 态 下 完成 计算 机 名 称 更 改 ， 
IP 地 址 更 改 ， 计 算 机 激活 。 


实战 环境 


”VMware 6.02 软件 
至。 Windows Server 2008 安装 光盘 的 10S 文件 
m ”能 够 连接 到 Internet 


实战 目标 


安装 Windows Server 2008 企业 版 核心 
显示 Server Core 可 用 的 命令 

在 命令 行 界面 下 更 改 计算 机 名 

在 命令 行 界面 下 更 改 网 络 连接 设置 

在 命令 行 界面 下 激活 服务 器 

启用 远程 桌面 

启用 Windows 防火 墙 


2.7.1 任务 1: 安装 Windows Server 2008 企业 版 核心 


双击 桌面 上 的 国 图 标 ， 选 择 File 一 New 一 Virtual Machine 命令 。 
在 向 导 中 单 击 “ 下 一 步 ” 按 钮 ， 选 中 Typical 复 选 框 。 
选中 Microsoft Windows，Version 选择 Windows Server 2008， 单 击 “ 下 一 步 ”按钮 ， 输 入 虚拟 


四 四 日 
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的 名 字 ， 并 确定 存储 位 置 (最 少 有 6 GB 大 小 )。 

在 网 络 类 型 中 ， 选 择 Use bridged networking。 

指定 磁盘 大 小 40 GB。 

单 击 “ 下 一 步 ” 按 钮 ， 单 击 “ 完 成 ”按钮 。 

双击 CD-ROM (IDE 1:0)， 单 击 Browse 按钮 ， 找 到 Windows Server 2008 的 安装 盘 。 单 击 OK 
按钮 。 

单 击 信 按钮 开启 虚拟 机 。 单 击 “ 下 一 步 ”按钮 。 

单 击 “ 现 在 安装 ”按钮 。 如 图 2-73 所 示 ，, 选择 Windows Server 2008 Enterprise( 服 务 器 核心 安装 ) 
选项 ， 单 击 “ 下 一 步 ”按钮 。 


2-73 选择 Windows Server Core 企业 版 


选中 “我 接受 许可 条 款 ” 单 选 按钮 ， 单 击 “ 下 一 步 ”按钮 。 

选择 “ 自 定义 (高 级 ])” 选 项 ， 选 择 “ 驱 动 器 选项 (高 级 )” 选 项 。 

单 击 “ 新 建 ”按钮 。 

指定 磁盘 大 小 20000 MB， 单 击 “ 应 用 ”按钮 。 

选中 刚 创建 的 分 区 ， 单 击 “ 下 一 步 ” 按 钮 。 

重启 系统 ， 按 Ctrl+Alt+Insert 组 合 键 登录 系统 。 

单 击 “ 其 他 用 户 ” 按 钮 。 

输入 用 户 名 administrator, 密码 为 空 , 如 图 2-74 所 示 。 单 击 国 技 包 ， 在 弹出 的 提示 框 中 单 击 “ 确 
定 ” 按 钮 ， 如 图 2-75 所 示 。 


administraror| 


a I 
S 


图 2-74 ”输入 管理 员 账户 ， 密 码 为 空 图 2-75 需要 更 新 密码 
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@ ”如 图 2-76 所 示 ， 输 入 新 密码 。 单 击 如 按钮 ， 登 录 后 即 可 看 到 一 个 命令 行 界面 ， 如 图 2-77 所 示 。 


bien 3 


© 注意 : 新 密码 必须 满足 长 度 复杂 性 要 求 。 


图 2-76 输入 新 密码 图 2-77 登录 后 的 界面 


2.7.2 任务 2: 显示 Server Core 可 用 的 命令 


Q@ 以 管理 员 的 身份 登录 Windows Server 核心 服务 器 。 
@ 输入 : cd \。 
@ 在 C 盘 根 目录 下 ， 输 入: cd Windows\system32。 


@ 如 图 2-78 所 示 , 在 C:\Windows\system32 目录 下 ,输入 :cscript scregedit.wsf /cli 将 会 列 出 Server 
Core 中 提供 的 一 个 常用 的 命令 行 汇总 。 
9 profleserver VMware Workstation ACE don ET Ea 


Ed View VM Team ACE Window Hel 


Er EE 


2-78 ”显示 常用 的 命令 


令 汇 总 如 下 。 


全 
> 


A 


Server Core 中 常用 外 
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激活 
Cscript slmgr.vbs -ato 


使 用 KMS 批量 授权 进行 激活 
配置 KMS 批量 授权 


cscript slmgr.vbs -ipk [volume license key] 


激活 KMS 授权 


cscript slmgr.vbs -ato 


设置 KMS DNS SRV 记录 


cscript slmgr.vbs -skma [KMS FQDN] 


确定 计算 机 名 称 


Set c 

Ipconfig /all 

Systeminfo.exe 或 Hostname .exe 
重 命名 服务 器 核心 计算 机 
已 加 入 的 域 


Netdom renamecomputer $computernames /NewName:new-name /UserD:domain-username /PasswordD:* 


未 加 入 的 域 
Netdom renamecomputer $computernames /NewName:new-name 
更 改 工作 组 


Wmic computersystem where name="%computername%®" call joindomainorworkgroup 
name=" [new workgroup name]" 


安装 角色 或 可 选 功能 


Start /w Ocsetup [packagename] 


© 注意 : 对 于 Active Directory， 应 运行 具有 应 答 文件 的 Dcpromo。 


查看 角色 和 可 选 功能 包 名 称 以 及 当前 安装 状态 
oclist 

启动 任务 管理 器 热 键 

ctrl-shift-esc 

注销 终端 服务 会 话 

Logoff 


设置 页 面 文件 大 小 
禁用 系统 页 面 文件 管理 


wmic computersystem where name="scomputernames" set AutomaticManagedPagefile=False 


CS 
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L527 


配置 页 面 文件 


wmic pagefileset where name="C:\\pagefile.sys" set InitialSize=500,MaximumSize=1000 


配置 时 区 、 日 期 或 时 间 


control timedate.cpl 


配置 区 域 和 语言 选项 

control intl.cpl 

FF 动 安装 管理 工具 或 代理 
Msiexec.exe /i [msipackage] 


列 出 已 安装 的 MSI 应 用 程序 


Wmic product 


各 载 MSI 应 用 程序 


Wmic product get 名 称 /value 


列 出 安装 的 驱动 程序 


Sc query type= driver 


安装 未 包括 的 驱动 程序 ， 将 驱动 程序 文件 复制 到 服务 器 核心 


Pnputil -i -a [path]\[driver] .inf 


重 命 名 网 络 适配器 


netsh interface set interface name="Local Area Connection" newname="PrivateNetwork" 


禁用 网 络 适配器 


netsh interface set interface name="Local Area Connection 2" admin=DISABLED 


确定 文件 的 版 本 


wmic datafile where name="c:\\windows\\system32\\ntdll.dll" get version 


已 安装 的 修补 程序 列表 


wmic qfe list 


安装 修补 程序 


Wusa.exe [patchame] .msu /quiet 


配置 代理 


Netsh winhttp set proxy [proxy name]: [port] 


添加 、 删 除 、 查 询 注册 表 值 


reg.exe add /? 


由 


reg.exe delete /? 
reg.exe query /? 


2.7.3 任务 3: 更 改 计算 机 名 称 


Q@ 以 管理 员 的 身份 登录 Windows Server 核心 服务 器 。 

@@ 如 图 2-79 所 示 ， 运 行 HOSTNAME， 显 示 当 前 计算 机 名 称 。 

G@) 运行 netdom RENAMECOMPUTER WIN-M95E5DFAZCO/NEWNAME:FileServer, 其 中 WIN-M95E5DFAZCO 
是 现在 的 计算 机 名 称 ，FileServer 是 新 的 计算 机 名 称 。 

@ 如 图 2-79 所 示 ， 运 行 shutdown /r /t0， 重 启 系统 。 


N-H95E5DPRZCB /NEWNAME:F: 


et 


图 2-79 查看 和 更 改 计算 机 名 称 


2.7.4 任务 4: 配置 网 络 连 接 


Q 使 用 管理 员 账 户 登 录 Windows Server 核心 操作 系统 
@ 使 用 ipconfig /all 查看 IP 地 址 。 如 图 2-80 所 示 ， 发 现 已 经 从 DHCP 请 求 得 到 了 地 址 。 
a 


WIN-M9SESDFAZCA 


图 2-80 ”查看 本 地 连接 的 IP 设置 


@ ping www.inhe.net 测试 到 Internet 的 连接 性 。 如 图 2-81 为 测试 域名 解析 和 网 络 连通 性 。 发 现 能 
够 解析 该 域名 的 地 址 ， 并 且 能 够 从 该 地 址 返回 数据 包 。 
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1. 手工 指定 静态 地 址 

如 果 网 络 上 没有 为 DHCP 服务 器 分 配 IP 地 址 ， 则 需要 进行 以 下 人 工 指定 静态 地 址 的 步骤 ， 如 图 2-82 
所 示 。 

Q@ 输入 netsh。 

@) 输入 interface。 

@ 输入 show interface， 显 示 接 口 。 

@ 输入 Exit， 退 出 。 


启 口 名 称 
本 地 连 提 


图 2-81 测试 域名 解析 和 网 络 连通 图 2-82 查看 本 地 连接 状态 


@ 输入 netsh。 
@ 如 图 2-83 所 示 ， 输 入 interface ipv4 set address name=“ 本 地 连接 "source=static addr=10.7.1.212 
mask= 255.255.255.0 gateway=10.7.1.1。 


图 2-83 更 改 IP 地 址 


2. 配置 指定 使 用 的 DNS 服务 器 


Q 输入 netsh。 

@ 如 图 2-84 所 示 ， 输 入 interface ipv4 set dnsserver "本 地 连接 " static 202.99.160.68 primary。 

@ 输入 Exit， 退 出 。 

@ 输入 ipconfig /all， 查 看 配置 的 DNS。 

@， Ping www.inhe.net 测试 到 Internet 的 连接 性 。 发 现 能 够 解析 该 域名 的 地 址 ， 并 且 能 够 从 该 地 址 返 
回 数据 包 。 这 表明 能 够 连接 到 Internet。 
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管理 员 : C\Windows\system32\cmd.-exe -和 =|9| x| 


Inetsh>interface ipu4 set dnsserver tatic 282.99.168-68 prinary [| 


Inetsh>exit 


C:\Windows \systen32>, 


图 2-84 指定 首选 的 DNS 服务 器 


2.7.5 任务 5: 激活 服务 器 


中 如 图 2-85 所 示 ， 运 行 simgr -xpr， 查 看 操作 系 
@ 如 图 2-86 所 示 ， 更 改 产品 密 钥 ， 在 命令 行 输入 : slmgr -ipk YK333-24HJX-JDR2Y-B8KPY-4R7KY 


ryslngr dli 


ryolngr -ipk YK333-24HJX-JDR2Y -BaXpy—ARTHY 


成 功 地 次 装 了 产品 宣 烛 mas324DXDR2rBekey -人 7rY。 


SE 


图 2-85 查看 过 期 时 间 图 2-86 更 改 产品 密 钥 
@ 如 图 2-87 所 示 ， 运 行 slmgr -ato， 激 活 服务 器 。 
@ ”如 图 2-88 所 示 ， 再 次 查看 授权 信息 ， 发 现 已 授权 。 


=I9jx| 


dli 


ipk YN333-24HJX-JDR2Y 


图 2-87 激活 成 功 图 2-88 显示 已 授权 


2.8 实战 : 使 用 Windows PE 备份 和 还 原 系 统 


任务 描述 
在 企业 实际 的 应 用 环境 中 ， 关 键 业务 所 使 用 的 


统 大 多 不 用 虚拟 机 ， 为 了 防止 操作 系统 失败 造成 


的 不 可 用 ， 使 用 磁盘 备份 软件 Ghost， 可 以 将 运行 正常 的 操作 系统 的 系统 分 区 备份 到 其 他 分 区 ， 这 样 一 旦 
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操作 系统 由 于 病毒 或 其 他 原因 启动 失败 ， 我 们 就 可 以 使 用 以 前 的 备份 迅速 还 原 。 

使 用 Windows PE 引导 进入 系统 ， 备 份 系统 和 还 原 系统 ， 并 且 能 够 使 用 Windows PE 光盘 清除 管理 员 
密码 ， 以 及 能 够 在 操作 系统 意外 失败 的 情况 ， 使 用 Windows PE 进入 系统 复制 出 重要 数据 。 能 够 使 用 
Windows PE 找到 删除 的 文件 。 

实战 环境 

@ 一 台 装 好 Windows Server 2008 的 服务 器 

于 ”该 服务 器 必须 有 两 个 分 区 

于 “ 带 Ghost 的 Windows PE 引导 盘 

实战 目标 

于 “能够 使 用 Ghost 软件 备份 和 还 原 操作 系统 

mm ”能够 清除 管理 员 密 码 


2.8.1 任务 1: 备份 操作 系统 


将 系统 盘 备 份 到 其 他 分 区 , 要 求 系统 必须 至 少 有 两 个 分 区 。 下 面 的 操作 先 创建 新 的 分 区 , 再 从 Windows 
PE 引导 ， 备 份 系统 到 第 二 个 分 区 。 

四 单 击 诺 按钮 启动 虚拟 机 ， 以 管理 员 身份 登录 。 

@ 打开 服务 器 管理 器 ， 选 择 “ 存 储 ” 一 “磁盘 管理 ”命令 。 

@ 如 图 2-89 所 示 ， 右 击 磁盘 0 未 分 配 空间 ， 单 击 “新建 简 单 卷 ”按钮 。 

@ 如 图 2-90 所 示 ， 指 定 分 区 大 小 ， 单 击 “ 下 一 步 ”按钮 。 


其 定名 大 小 
对 担 刘 于 县 大 和 最小 值 的 泛 大 小， 
者 大话 色 空 间 香 9): 005T 
里 4 诺 委 空间 重 WE): 日 
科举 区 大 小 GE): Ji 了 
A TE Wn | 
图 2-89 ”创建 简单 卷 2-90 ”指定 磁盘 大 小 


回 ”如 图 2-91 所 示 ， 指 定 驱动 器 号 ， 单 击 “下 一 步 ”按钮 
@@ ”如 图 2-92 所 示 ， “文件 系统 ”为 NTFS， 选 中 “执行 快速 格式 化 ” 复 选 框 ， 单 击 “ 下 一 步 ” 按钮， 


单 击 “ 完 成 ”按钮 。 
关闭 虚拟 机 
如 果 你 将 整个 盘 作为 一 个 分 区 安装 了 操作 系统 ， 则 需要 关闭 虚拟 机 ， 添 加 一 块 新 的 磁盘 ， 然 后 开机 格 
式 化 一 个 新 的 卷 。 
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四 ”如 图 2-93 所 示 ， 单 击 CD-ROM 图 标 ， 浏 览 到 Windows PE ISO 文件 后 ， 单 击 OK 按钮 。 


[一 
分 本 驱动 各 号 和 句 径 帝 式 化 分 区 
为 了 便于 访问 ， 避 以 始 磋 县 分 区 分 本 驱动 闫 号 或 驱动 咏 路 径 - 要 在 这 个 天竺 分 区 上 侍 存 数 泥 ， 您 攻 须 先 竺 其 格式 化 = 


这 择 是 再 要 入 式 化 这 十 谷 ; 各 尝 委 格式 化 , 委 使 用 什么 设置 。 


me 
上 a 
| wn | 
图 2-91 指定 盘 符 图 2-92 格式 化 分 区 
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2-93 ”插入 Windows PE 安装 盘 


启动 虚拟 机 ， 将 光标 点 进 虚 拟 机 ， 在 出 现下 图 界面 时 ， 按 F2 键 ， 进 入 BIOS 设置 ， 如 图 2-94 所 
示 ， 设 置 引导 顺序 。 按 “-”、“+” 键 调整 顺序 ， 将 CD-ROM Driver 调整 到 最 高 ， 按 F10 键 ， 保 
存 退 出 。 

如 图 2-95 所 示 ， 重 启 系统 ， 进 入 Windows PE 界面 (貌似 Windows XP 的 图 形 界面 )。 

进入 系统 后 ， 选 择 “ 开 始 ” 一 “程序 ”一 “克隆 工具 ”一 “诺顿 ghost32v11” 命 令 。 

如 图 2-96 所 示 , 选择 load 一 partition 一 Tolmage 命令 .将 C 分 区 备份 为 一 个 扩展 名 为 gho 的 文件 。 
如 图 2-97 所 示 ， 选 择 要 备份 的 分 区 位 于 第 几 块 硬盘 上 。 因 为 这 个 计算 机 就 一 块 硬盘 ， 选 中 该 盘 ， 
单 击 OK 按钮 。 

如 图 2-98 所 示 ， 选 择 要 备份 的 分 区 ， 单 击 OK 按钮 。 

如 图 2-99 所 示 ， 指 定 备 份 存储 位 置 ， 并 指定 文件 名 。 

如 果 将 备份 指定 到 第 一 块 盘 的 第 二 个 分 区 ， 单 击 Save 按钮 。 如 图 2-100 所 示 , 在 弹出 的 对 话 框 中 
单 击 High 按钮 ， 这 样 占用 磁盘 空间 小 。 
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图 2-97 选择 要 备份 的 磁盘 
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clicking on the drive number_ 


设置 引导 顺序 
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图 2-96 备份 系统 盘 到 映像 文件 


Seleet source partition(s) from Basic drive: 1 


图 2-98 选择 要 备份 的 分 区 


图 2-99 指定 备份 存储 位 置 图 2-100 指定 是 否 压缩 


| 提示 : No 就 是 不 压缩 ， 最 快 的 速度 ; Fast 就 是 低压 缩 ， 较 快 的 速度 ; High 就 是 高 压缩 ， 较 慢 的 速度 。 


@ 备份 完成 后 ， 单 击 Continue 按钮 ， 单 击 Quit 按钮 ， 退 出 备份 。 


2.8.2 任务 2: 还 原 操作 系统 


GD 使 用 Windows PE 引导 进入 系统 。 

@@ 进入 系统 后 ， 单 击 “ 开 始 ” 一 “程序 ”一 “克隆 工具 ”一 “诺顿 ghost32 ”命令 。 
@@ 如 图 2-101 所 示 ， 选 择 10ad 一 partition 一 From Image 命令 。 
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2-101 还 原 系统 


如 图 2-102 所 示 ， 选 择 备份 的 ghost 文件 。 

如 图 2-103 所 示 ， 选 择 源 分 区 ， 单 击 OK 按钮 。 

如 图 2-104 所 示 ， 选 择 要 还 原 到 的 目标 磁盘 。 

如 图 2-105 所 示 ， 指 定 目标 磁盘 上 的 目标 分 区 ， 单 击 OK 按钮 。 
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图 2-104 选择 目标 磁盘 图 2-105 选择 目标 分 区 


[NTFS], 20960 NE, 6726 HB used, Ne name 
kB, GN0, 40960 NE 


中 
1], 40960 MB 


所 
图 2-106 还 原 前 的 提示 框 
@ 还原 完成 后 ， 关 机 ， 取 出 光盘 ， 启 动 系统 。 


2.8.3 任务 3: 重新 设置 密码 


当 用 户 忘记 或 不 知道 系统 管理 密码 时 可 以 无 条 件 重 设 任何 用 户 密码 。 

@ 使 用 Windows PE 引导 系统 。 

@ 选择 “开始 ”一 “程序 ”一 “Windows 系统 维护 ”一 “Windows 用 户 密码 维护 ”命令 ， 如 图 2-107 
所 示 ， 打 开 用 户 密码 恢复 工具 。 
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国 NT 系统 用 户 赫 码 饮 复 工具 v1. 井 老 毛 袍 汉化 


开始 区 迹 使 用 Windows NT/2000PPJ2003/Vista 东 统 用 户 密码 和 | 
证 用 恢复 向 导 - 
取消 人 此 工具 不 可 用 于 直 法 玻 解 

Te 

a 9 沁 和 让 于 中 迪生 人 
修改 现 有 用 户 的 过 玛 时 六 
新 建 一 个 管理 郧 用 户 
提升 一 个 现 有 用 户 为 个 理 员 二 和 Ss I 到 
部 [EE Windows 的 所 在 路径-> 和 渴 择 目标 路 径 


图 2-107 用 户 密码 恢复 工具 


图 如 图 2-108 所 示 ， 单 击 “ 选 择 目标 路 径 ” 按 钮 。 浏 览 到 装 有 系统 的 目录 C:\Windows。 


园 wr 系统 用 户 宪 码 恢复 工具 wl. 起 老 毛桃 汉化 


欢迎 使 用 Windows NT/2000/XP/2003/Vista 系统 用 户 密码 过 

狄 复 向 导 - 
下 本 二 全 

| 昌 * 不 得 用 作 任何 其 它 全 图 8 
选择 一 个 任务 站 起 放 是 旬 贫 的 。 也 不 是 屋 和 里 癌 和 4 N 多 从 

光 和 外 骂人 轿 有 有 权力 和 人 周年 要 池 名 乱 刘 训 
pe 的 任何 形式 的 收费 、 请 求 捐款 等 活动 
提升 一 个 现 有 用 户 为 管理 员 推荐 您 到 这 里 下 载 该 程序 的 更 新 版 本 : 到 
任务 [EWwndows 思拓 目标 路 径 


图 2-108 选择 系统 目录 
图 单 击 “修改 现 有 用 户 的 密码 ”按钮 。 


回 如 图 2-109 所 示 ， 单 击 “ 用 户 名 ”下 拉 列 表 框 右 侧 的 下 三 角 按 钮 ， 则 能 看 到 该 计算 机 中 的 所 有 
用 户 。 


选中 用 户 ， 直 接 输入 新 密码 ， 然 后 单 击 “ 应 用 ”按钮 。 


图 NT 系 较 用 户 密码 恢复 工具 vL 地 老 毛 桃 沈 化 


请 园 择 您 要 修改 密码 的 用 户 名 ,并 输 入 新 的 密码 - 


密码 最 多 支持 127 个 宇 符 。 如 果 您 在 一 个 运行 Windows 
9X 的 计算 机 网 络 上 ,需要 注意 苯 免 密码 长 度 超过 14 个 字符 。 


用 户 名 : [adminisvator 可 
EB: 
确认 过 汉 : | 


图 2-109 重 设 管理 员 密码 
@ 用户 可 以 新 建 一 个 管理 员 用 户 ， 也 可 以 提升 一 个 现 有 用 户 为 管理 员 。 


2.8.4 任务 4: 恢复 删除 的 文件 


误 删 除 之 后 ， 第 一 件 事 就 是 恢复 数据 ， 如 果 又 在 该 分 区 存放 了 新 的 文件 ， 则 有 可 能 覆盖 了 删除 的 文件 ， 
此 时 ， 可 能 就 不 能 完整 恢复 整个 文件 ， 或 根本 就 恢复 不 了 


万 一 不 小 心 彻底 删除 了 不 该 删除 的 文件 ， 不 要 在 该 分 区 盘 上 复制 任何 新 文件 ,可 从 Windows PE 引导 ， 
进入 系统 ， 恢 复 删除 的 文件 。 
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Q@@ 使 用 Windows PE 引导 系统 。 

回 选择 “开始 ”一 “程序 ”一 “文件 工具 ”一 文件 恢复 FinalData 命令 。 

图 ”如 图 2-110 所 示 ， 单 击 国 图 标 ， 选 择 删 除 的 文件 所 在 磁盘 ， 单 击 “ 确 定 ” 按 钮 。 
@ ”如 图 2-111 所 示 ， 选 择 要 搜索 的 能 范围 。 单 击 “ 确 定 ”按钮 。 


EE 


三 结束 ( 晤 大 :5119230=19996N) 


JR 
Ce ] ws | 


图 2-110 指定 删除 的 文件 所 在 的 磁盘 图 2-111 指定 要 搜索 的 徐 范 围 
@ ”扫描 完成 之 后 ， 找 到 已 经 删除 的 文件 后 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “恢复 ”命令 。 


图 2-112 ”找到 删除 的 文件 
如 图 2-113 所 示 ， 恢 复 到 其 他 分 区 。 最 后 单 击 “保存 ”按钮 。 


© 注意 : 必须 保存 在 不 同 的 分 区 ， 以 免费 盖 被 删除 的 文件 。 


图 2-113 ”恢复 到 其 他 分 区 


Windows Server 2008 中 的 角色 和 功能 ， 相 当 于 县 全 关键 记 
Windows Server 2003 中 Windows 组 件 ， 重 要 的 组 服务 器 功能 和 角色 介绍 
件 划分 到 了 Windows Server 2008 角色 ， 不 太 重 要 服 使 用 服务 器 管理 器 管理 服务 器 
务 和 增加 服务 器 的 功能 划分 到 了 Windows Server 配置 和 管理 硬件 
2008 功能 。 定义 用 户 桌面 环境 

服务 器 管理 器 提供 了 完成 服务 器 所 有 的 管理 工作 配置 IE 选项 
的 界面 ， 包 括 添加 删除 角色 和 功能 ， 更 改 计算 机 属性 ， 配置 反 间 谍 软 人 
存储 管理 ， 用 户 管理 ， 日 志 管理 等 。 Defender 


- Windows 


配置 网 络 中 心 
配置 本 地 连接 
常用 网 络 排 错 工具 


3.1 服务 器 角色 、 和 角色 服务 和 功能 


本 部 分 定义 适用 于 Windows Server 2008 的 术语 : 角色 、 角 色 服 务 和 功能 。 


图 3-1 服务 器 角色 、 角 色 服务 以 及 功能 


3.1.1 角色 


Roles 是 出 现在 Windows Server 2008 中 的 一 个 新 概念 ， 也 是 Windows Server 2008 管理 特性 中 很 重 
要 的 一 个 亮点 。 如 何 理解 Roles 呢 ? 字 面 指 的 是 角色 ， 这 里 指 的 是 服务 器 角色 ， 或 者 指 的 是 运行 某 一 个 特 
定 服务 的 服务 器 角色 。 当 一 台 服 务 器 安装 了 某 个 服务 后 ， 其 实 就 是 赋予 了 这 台 服 务 器 一 个 角色 ， 这 个 角色 
的 任务 就 是 为 应 用 程序 、 计 算 机 或 者 整个 网 络 环境 提供 该 项 服务 。 
服务 器 角色 是 软件 程序 的 集合 ， 在 安装 并 正确 配置 之 后 ， 允 许 计算 机 为 网 络 内 的 多 个 用 户 或 其 他 计算 
机 执行 特定 功能 。 一 般 来 说 ， 角 色 有 具有 下 列 共 同 特 征 。 
”角色 描述 计算 机 的 主要 功能 、 用 途 或 使 用 。 特 定 计算 机 可 以 专用 于 执行 企业 中 常用 的 单个 角色 ， 
如 果 多 个 角色 在 企业 中 均 很 少 使 用 ， 则 还 可 以 执行 多 个 角色 。 
里。 角色 允许 整个 组 织 中 的 用 户 访问 由 其 他 计算 机 管理 的 资源 ， 比 如 网 站 、 打 印 机 或 存储 在 不 同 计算 
机 上 的 文件 。 
@ “角色 通常 包括 自己 的 数据 库 ， 这 些 数据 库 可 以 对 用 户 或 计算 机 请 求 进行 排队 ， 或 记录 与 角色 相关 
的 网 络 用 户 和 计算 机 的 信息 。 例 如 ，Active Directory 域 服务 包括 一 个 用 于 存储 网 络 中 所 有 计算 
机 的 名 称 和 层次 结构 关系 的 数据 库 。 
正确 安装 并 配置 角色 之 后 ， 将 角色 设置 为 自动 工作 ， 以 允许 安装 此 角色 的 计算 机 ， 图 3-2 显示 了 
Windows Server 2008 的 所 有 角色 。 表 3-1 是 角色 描述 。 
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角色 名 称 


Active Directory 


证 书 服务 


Active Directory 


域 服务 


Active Directory 
联合 身份 验证 
服务 


Active Directory 


轻型 目录 服务 


Active Directory 
权限 管理 服务 
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3-2 ”Windows Server 2008 服务 器 角色 
表 3-1 角色 描述 


描 述 
Active Directory 证 书 服务 提供 可 自 定义 的 服务 ， 用 于 创建 并 管理 在 采用 公 钥 技术 的 软件 安全 系统 中 
使 用 的 公 钥 证 书 。 组 织 可 使 用 Active Directory 证 书 服务 通过 将 个 人 、 设 备 或 服务 的 标识 与 相应 的 
私 钥 进行 绑 定 来 增强 安全 性 。 Active Directory 证 书 服务 还 包括 允许 在 各 种 可 伸缩 环境 中 管理 证 书 注 
册 及 吊销 的 功能 
Active Directory 证 书 服务 所 支持 的 应 用 领域 包括 安全 /多 用 途 Internet 邮件 扩展 (S/MIME)、 安 全 的 
无 线 网 络 、 虚 拟 专用 网 络 (VPN)、Intemet 协议 安全 (IPsec)、 加 密 文件 系统 (EFS)、 智 能 卡 登录 、 安 全 
套 接 字 层 /传输 层 安 全 (SSL/TLS) 以 及 数字 签名 
Active Directory 域 服务 (AD DS) 存 储 有 关 网 络 上 的 用 户 、 计算 机 和 其 他 设备 的 信息 。 AD DS 帮助 管 
理 员 安全 地 管理 此 信息 并 促使 在 用 户 之 间 实 现 资源 共享 和 协作 。 此 外 ， 为 了 安装 启用 目录 的 应 用 程 
序 ( 如 Microsoft Exchange Server) 并 应 用 其 他 Windows Server 技术 (如 “组 策略 ”)， 还 需要 在 网 络 
上 安装 AD DS 
Active Directory 联合 身份 验证 服务 (AD FS) 提 供 了 单一 登录 (SSO) 技 术 , 可 使 用 单一 用 户 账户 在 多 个 
Web 应 用 程序 上 对 用 户 进行 身份 验证 。AD FS 通过 以 下 方式 完成 此 操作 : 在 伙伴 组 织 之 间 以 数字 
声明 的 形式 安全 地 联合 或 共享 用 户 标识 和 访问 权限 
对 于 其 应 用 程序 需要 用 目录 来 存储 应 用 程序 数据 的 组 织 而 言 ， 可 以 使 用 Active Directory 轻型 目录 
服务 (AD LDS) 作 为 数据 存储 方式 。AD LDS 作为 非 操作 系统 服务 运行 ， 因 此 ， 并 不 需要 在 域 控制 器 
上 对 其 进行 部 署 。 作 为 非 操 作 系统 服务 运行 ， 可 允许 多 个 AD LDS 实例 在 单 台 服务 器 上 同时 运行 ， 
并 且 可 针对 每 个 实例 单独 进行 配置 ， 从 而 服务 于 多 个 应 用 程序 
Active Directory 权限 管理 服务 (AD RMS) 是 一 项 信息 保护 技术 ， 可 与 启用 了 AD RMS 的 应 用 程序 
协同 工作 ， 帮 助 保护 数字 信息 兔 遭 未 经 授权 的 使 用 。 内 容 所 有 者 可 以 准确 地 定义 收 件 人 可 以 使 用 信 
息 的 方式 ， 例 如 ， 谁 能 打开 、 修 改 、 打 印 、 转 发 和 /或 对 信息 执行 其 他 操作 。 组 织 可 以 创建 自 定 义 的 
使 用 权限 模板 ， 如 “机 密 - 只 读 ”， 此 模板 可 直接 应 用 到 诸如 财务 报表 、 产 品 说 明 、 客 户 数据 及 电 
子 邮件 之 类 的 信息 


应 用 程序 服务 器 


应 用 程序 服务 器 提供 了 完整 的 解决 方案 ， 用 于 托管 和 管理 高 性 能 分 布 式 业务 应 用 程序 。 诸 如 .NET 
Framework、Web 服务 器 支持 、 消 息 队 列 、COM+、Windows Communication Foundation 和 故障 转 
移 群集 之 类 的 集成 服务 有 助 于 在 整个 应 用 程序 生命 周期 (从 设计 与 开发 直到 部 署 与 操作 ) 中 提高 工作 
效率 
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@ Windows Server 2008 下 了 了 


续 表 
角色 名 称 描 述 
动态 主机 配置 协议 允许 服务 器 将 耳 地 址 分 配给 作为 DHCP 客户 端 启用 的 计算 机 和 其 他 设备 ， 也 
动态 主机 配置 协 | 允许 服务 器 租用 瑟 地 址 。 通 过 在 网 络 上 部 署 DHCP 服务 器 ， 可 为 计算 机 及 其 他 基于 TCP/IP 的 
议 (DHCP) 服 务 器 ”| 网 络 设备 自动 提供 有 效 的 人 P 地 址 及 这 些 设备 所 需 的 其 他 配置 参数 ( 称 为 DHCP 选项 ), 这 些 参数 允 
许 它们 连接 到 其 他 网 络 资源 ， 如 DNS 服务 器 、WINS 服务 器 及 路 由 器 
域名 系统 (DNS) 提 供 了 一 种 将 名 称 与 mtemet 数字 地 址 相关 联 的 标准 方法 。 这样 , 用 户 就 可 以 使 用 容 
DNS 服务 器 易 记 住 的 名 称 代替 一 长 串 数字 来 访问 网 络 计算 机 。 在 Windows 上 ， 可 以 将 Windows DNS 服务 和 动 
态 主 机 配置 协议 (DHCP) 服 务 集成 在 一 起 ， 这 样 在 将 计算 机 添加 到 网 络 时 ， 就 无 须 添 加 DNS 记录 
传真 服务 器 传真 服务 器 ， 可 发 送 和 接收 传真 ， 并 允许 管理 这 台 计 算 机 或 网 络 上 的 传真 资源 ， 例 如 作业 、 设 置 、 
报告 以 及 传真 设备 等 
文件 服务 文件 服务 ， 提 供 了 实现 存储 管理 、 文 件 复制 、 分 布 式 命名 空间 管理 、 快 速 文件 搜索 和 简化 的 客户 端 
文件 访问 等 技术 
网 络 策略 和 访问 服务 提供 了 多 种 方法 ， 可 向 用 户 提供 本 地 和 远程 网 络 连接 及 连接 网 络 段 ， 并 允许 网 
网 络 策略 和 访问 | 络 管理 员 集中 管理 网 络 访问 和 客户 端 健康 策略 。 使 用 网 络 访问 服务 ， 可 以 部 署 VPN 服务 器 、 拨 号 
服务 服务 器 、 路 由 器 和 受 802.11 保护 的 无 线 访问 。 还 可 以 部 署 RADIUS 服务 器 和 代理 ， 并 使 用 连接 
管理 器 管理 工具 包 来 创建 允许 客户 端 计算 机 连接 到 网 络 的 远程 访问 配置 文件 
可 以 使 用 打印 服务 来 管理 打印 服务 器 和 打印 机 。 打 印 服务 器 可 通过 集中 打印 机 管理 任务 来 减少 管理 
打印 服务 
工作 负荷 
终端 服务 终端 服务 ， 所 提供 的 技术 允许 用 户 从 任何 计算 设备 访问 安装 在 终端 服务 器 上 的 基于 Windows 的 程 
序 , 或 访问 Windows 桌面 本 身 。 用 户 可 连接 到 终端 服务 器 来 运行 程序 并 使 用 该 服务 器 上 的 网 络 资源 
UDDI 服务 提供 了 通用 描述 、 发 现 和 集成 (OUDDD 功 能 , 用 于 在 组 织 的 Intranet 内 、Intranet 或 Internet 
通用 描述 、 发 现 和 | 上 的 业务 伙伴 之 间 共享 有 关 Web 服务 的 信息 。UDDI 服务 通过 更 可 靠 和 可 管理 的 应 用 程序 提高 开 
集成 (UIDDD 服 务 ”| 发 人 员 和 IT 专业 人 员 的 工作 效率 。 使 用 UDDI 服务 ， 可 以 促进 现 有 开发 成 果 的 重复 使 用 ， 从 而 
避免 重复 劳动 
使 用 Web 服务 器 (IIS) 可 以 共享 Intemet、Intranet 或 Extranet 上 的 信息 。 它 是 统一 的 Web 平台 ， 
Web 服务 器 (IIS) 集成 了 IIS 7.0、ASPNET 和 Windows Communication Foundation。IIS 7.0 还 具有 安全 性 增强 、 诊 
断 简化 和 委派 管理 等 特点 
可 以 使 用 Windows 部 署 服务 在 带 有 预 启动 执行 环境 (PXE) 启 动 ROM 的 计算 机 上 远程 安装 并 配置 
本 Microsoft® Windows 操作 系统 。WdsMgmt Microsoft 管理 控制 台 (MMC) 管 理 单元 可 管理 Windows 
部 署 服务 的 各 个 方面 , 实施 该 管理 单元 将 减少 管理 开销 。Windows 部 署 服务 还 可 以 为 最 终 用 户 提供 
与 使 用 Windows 安装 程序 相 一 致 的 体验 
pe Hyper-V 提供 服务 ， 可 以 使 用 这 些 服务 创建 和 管理 虚拟 机 及 其 资源 。 每 个 虚拟 机 都 是 一 个 在 独立 执 
行 环境 中 运行 的 虚拟 化 计算 机 系统 。 这 人 允许 用 户 同时 运行 多 个 操作 系统 
3.1.2 角色 服务 


区 


党 


FF 管理 员 来 说 ， 可 以 一 目 了 然 地 看 到 服务 器 上 安装 的 所 有 角色 和 角色 的 运行 情况 ， 而 且 所 有 的 配置 


都 在 一 个 界面 中 ， 管 理 起 来 相当 方便 ， 比 起 Windows Server 2003 确实 强大 了 许多 。 在 此 之 前 一 直 需 要 手 
动 将 不 同 的 管理 工具 添加 到 一 个 MMC 控制 台中 ， 现 在 Windows Server 2008 已 经 为 用 户 整合 好 了 ， 而 且 
从 这 里 获得 的 信息 量 也 比 以 前 多 很 多 。 
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角色 服务 是 提供 角色 功能 的 软件 程序 。 安 装 角 色 时 ， 可 以 选择 角色 将 为 企业 中 的 其 他 用 户 和 计算 机 提 
供 的 角色 服务 。 一 些 角色 (例如 DNS 服务 器 ) 只 有 一 个 功能 ， 因 此 没有 可 用 的 角色 服务 。 其 他 角色 (比如 终端 
服务 ) 可 以 安装 多 个 角色 服务 ， 这 取决 于 企业 的 远程 计算 需要 。 

可 以 将 角色 视 为 对 密切 相关 的 互补 角色 服务 的 分 组 ， 在 大 多 数 情况 下 ， 安 装 角色 意味 着 安装 该 角色 的 
一 个 或 多 个 角色 服务 。 


3.1.3 功能 


功能 是 一 些 软件 程序 ， 这 些 程序 虽然 不 直接 构成 角色 ， 但 可 以 支持 或 增强 一 个 或 多 个 角色 的 功能 ， 或 
增强 整个 服务 器 的 功能 ， 而 不 管 安装 了 哪些 角色 。 例 如 ，“ 故 障 转移 群集 ”功能 增强 其 他 角色 (比如 文件 服 
务 和 DHCP 服务 器 ) 的 功能 ， 方 法 是 使 它们 可 以 针对 已 增加 的 元 余 和 改进 的 性 能 加 入 服务 器 群集 。 另 一 个 
功能 “Telnet 客户 端 ”允许 通过 网 络 连接 与 Telnet 服务 器 远程 通信 ， 从 而 全 面 增强 服务 器 的 通信 选项 ， 图 
3-3 显示 了 Windows Server 2008 的 所 有 功能 。 表 3-2 为 功能 描述 。 


eo | ws)] suy 
图 3-3 Windows Server 2008 的 功能 


表 3-2 功能 描述 


.NET Framework 3.0 将 NET Framework 2.0 API 的 强大 功能 与 新 技术 组 合 在 一 起 ， 以 构建 
NET Framework 3.0 功能 强大 的 应 用 程序 ， 这 些 应 用 程序 提供 引 人 注 目的 用 户 界面 ， 保 护 客户 的 个 人 标识 信息 ， 

支持 无 缝 、 安 全 的 通信 ， 并 提供 为 一 系列 业务 过 程 建 模 的 功能 

BitLocker 驱动 器 加 密 通 过 加 密 整 个 卷 并 检查 早期 启动 组 件 的 完整 性 ， 来 帮助 保护 已 丢失 、 
BitLocker 驱动 器 加 密 已 盗 或 解除 授权 不 当 的 计算 机 上 的 数据 。 只 有 成 功 验证 这 些 组 件 且 已 加 密 的 驱动 器 位 于 原来 

的 计算 机 时 ， 数 据 才 会 被 解密 。 完 整 性 检查 需要 兼容 的 受信 任 的 平台 模块 (TPM) 
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@ Windows Server2008 荆 二 二 二 


功 能 


续 表 
描 述 


BITS 服务 器 扩展 


连接 管理 器 管理 工具 包 


后 台 智 能 传送 服务 (BITS) 服 务 器 扩展 允许 服务 器 接收 客户 端 使 用 BITS 上 载 的 文件 。BITS 
允许 客户 端 计 算 机 在 前 台 或 后 台 异 步 传送 文件 ,保持 对 其 他 网 络 应 用 程序 的 响应 ， 并 在 网 络 
出 现 故 障 和 计算 机 重新 启动 后 恢复 文件 传送 

连接 管理 器 管理 工具 包 (CMAK) 可 生成 连接 管理 器 配置 文件 


桌面 体验 


组 策略 管理 


Intemet 打印 客户 端 


桌面 体验 包括 Windows Vista@ 的 功能 ， 如 Windows Media Player、 桌 面 主题 和 照片 管理 。 
桌面 体验 在 默认 情况 下 不 会 启用 任何 _Windows Vista 功能 ， 必 须 手动 启用 它们 
借助 组 策略 管理 ， 可 以 更 方便 地 了 解 、 部 署 、 管 理 组 策略 的 实施 并 解决 疑难 问题 。 其 标准 工 
具 是 组 策略 管理 控制 台 (GPMC), 这 是 一 种 脚本 化 的 Microsof 管理 控制 台 (MMC) 管 理 单元 ， 
提供 了 用 于 在 企业 中 管理 组 策略 的 单一 管理 工具 

Intemet 打印 客户 端 允许 使 用 HTTP 连接 到 Web 打印 服务 器 上 的 打印 机 , 并 使 用 这 些 打印 
机 。Internet 打印 实现 了 不 同 域 或 网 络 中 的 用 户 与 打印 机 之 间 的 连接 。 使 用 示例 包括 在 远程 
办 公 地 点 出 差 的 员工 ， 或 在 备 有 _Wi-Fi 访问 权限 的 咖啡 店 休息 的 员工 


Internet 存储 名 称 服务 器 


LPR 端口 监视 器 


消息 队列 


多 路 径 IO 


对 等 名 称 解析 协议 


优质 Windows 音频 视频 
体验 


远程 协助 


远程 服务 器 管理 工具 


Internet 存储 名 称 服务 器 (iSNS) 为 Internet 小 型 计算 机 系统 接口 (SCSD 存 储 区 域 网 络 提供 了 
发 现 服务 。iSNS 可 以 处 理 注册 请 求 、 注 销 请 求 ， 以 及 来 自 iSNS 客户 端的 查询 

Line Printer Remote(LPR) 端 口 监视 器 允许 有 权 访 问 基于 UNIX 的 计算 机 用 户 在 与 计算 机 连 
接 的 设备 上 进行 打印 

消息 队列 提供 安全 可 靠 的 消息 传递 、 高 效 路 由 和 安全 性 ， 以 及 在 应 用 程序 间 进行 基于 优先 级 
的 消息 传递 。 消息 队列 还 适用 于 在 下 列 情况 下 的 应 用 程序 之 间 进 行 消息 传递 ,这 些 应 用 程序 
在 不 同 的 操作 系统 上 运行 ， 使 用 不 同 的 网 络 设施 ， 暂 时 脱 机 ， 或 在 不 同 的 时 间 运 行 

多 路 径 IO(MPIO) 与 Microsoft 设备 特定 模块 (DSM) 或 第 三 方 DSM 一 起 ， 为 Microsoft 
Windows 上 的 存储 设备 使 用 多 个 数据 路 径 提供 支持 

对 等 名 称 解析 协议 (PNRP) 允 许 应 用 程序 通过 用 户 的 计算 机 进行 注册 和 解析 名 称 , 以 使 其 他 计 
算 机 可 与 这 些 应 用 程序 进行 通信 

优质 Windows 音频 视频 体验 (qWave) 是 Intemet 协议 家 庭 网 络 上 音频 和 视频 (AV) 流 应 用 程 
序 的 网 络 平台 。 通过 确保 AV 应 用 程序 的 网 络 服务 质量 , qWave 增强 了 AV 流 的 性 能 和 可 
靠 性 。 它 提供 了 许可 控制 、 运 行 时 监控 和 强制 执行 、 应 用 程序 反馈 以 及 通信 优先 级 等 机 制 。 
在 Windows Server 平台 上 ，qWave 只 提供 流量 率 和 优先 级 服务 

远程 协助 能 让 你 (或 支持 人 员 ) 向 具有 计算 机 问题 或 疑问 的 用 户 提供 协助 。 远 程 协助 允许 你 查 
看 和 共享 用 户 桌 面 的 控制 权 ， 以 解答 疑问 和 修复 问题 。 同 时 ， 用 户 还 可 以 向 朋友 或 同事 寻求 
帮助 

使 用 远程 服务 器 管理 工具 , 可 以 从 运行 Windows Server 2008 的 计算 机 上 对 Windows Server 
2003 和 Windows Server 2008 进行 远程 管理 ， 用 户 可 以 在 远程 计算 机 上 运行 一 些 角色 、 角 
色 服 务 和 功能 管理 工具 


可 移动 存储 管理 器 


RPC Over HTTP 代理 


可 移动 存储 管理 器 (RSM) 对 可 移动 介质 进行 管理 和 编 录 ， 并 对 自动 化 可 移动 介质 设备 进行 操作 
RPC Over HTTP 代理 由 通过 超 文本 传输 协议 (HTTP) 接 收 远程 过 程 调用 (RPC) 的 对 象 使 用 。 客 
户 端 可 借助 此 代理 发 现 这 些 对 象 ， 即 使 这 些 对 象 在 服务 器 之 间 移 动 ， 或 者 即使 它们 存在 于 网 
络 的 离散 区 域 中 (通常 出 于 安全 原因 ) 


NFS 服务 
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网 络 文件 系统 (NFS) 服 务 是 可 作为 分 布 式 文件 系统 的 协议 ， 可 允许 计算 机 轻松 地 通过 网 络 访 
问 文件 ， 就 像 在 本 地 磁盘 上 访问 它们 一 样 。 仅 在 Windows Server 2008 for Itanium-based 
Systems 中 安装 此 功能 ; 在 其 他 版 本 的 Windows Server 2008 中 , NFS 服务 将 作为 文件 服务 
角色 的 角色 服务 


续 表 


功 能 描 述 

SMTP 服务 器 SMTP 服务 器 支持 在 电子 邮件 系统 之 间 传送 电子 邮件 

nd 存储 区 域 网 络 (SAN) 存 储 管理 器 可 帮助 在 SAN 中 支持 虚拟 磁盘 服务 (VDS) 的 光纤 通道 子 系 
统 和 iSCSI 磁盘 驱动 器 子 系统 上 创建 和 管理 逻辑 单元 号 (LUN) 

简单 TCP/P 服务 简单 TCP/IP 服务 支持 以 下 TCP/IP 服务 : Character Generator、 yt Discard、Echo 以 
及 Quote of the Day。 简 单 TCP/TP 服务 用 于 向 后 兼容 ， 只 在 需要 时 进行 安装 
简单 网 络 管理 协议 (SNMP) 是 Intemet 标准 协议 ， 用 于 在 管理 控制 台 应 用 程序 (如 HP 

SNMP 服务 Openview、Novell NMS、IBM NetView 或 Sun Net Manager) 和 托管 实体 之 间 交 换 管理 信息 。 


托管 实体 可 以 包括 主机 、 路 由 器 、 桥 和 集线器 


基于 UNIX 应 用 程序 的 
子 系统 


将 基于 UNIX 应 用 程序 的 子 系统 (SUA) 和 Microsoft 网 站 可 供 下 载 的 支持 实用 程序 包 一 起 
使 用 ， 就 能 够 运行 基于 UNIX 的 程序 ， 并 能 在 Windows 环境 中 编译 并 运行 自 定义 的 基于 
UNIX 的 应 用 程序 


Telnet 客户 端 


Telnet 服务 器 


普通 文件 传输 协议 
(TFTP) 客户 端 


故障 转移 群集 


网 络 负载 平衡 


Windows Server Backup 


Windows 系统 资源 管理 器 


Windows Intemet 名 称 服 


无 线 LAN 服务 


Telnet 客户 端 可 使 用 Telnet 协议 连接 到 远程 Telnet 服务 器 并 运行 该 服务 器 上 的 应 用 程序 
Telnet 服务 器 允许 远程 用 户 (包括 那些 运行 基于 UNIX 的 操作 系统 的 用 户 ) 执 行 命令 行 管理 
任务 并 通过 使 用 Telnet 客户 端 来 运行 程序 

普通 文件 传输 协议 (TFTP) 客 户 端 用 于 从 远程 TFTP 服务 器 中 读 取 文 件 ， 或 将 文件 写 入 远程 
TFTP 服务 器 。 TFTP 主要 由 嵌入 式 设 备 或 系统 使 用 ， 它 们 可 在 启动 过 程 中 从 TFTP 服务 器 
检索 固件 、 配 置信 息 或 系统 映像 

故障 转移 群集 允许 多 台 服 务 器 一 起 工作 ， 以 实现 服务 及 应 用 程序 的 高 可 用 性 。 故 障 转移 群集 
常用 于 文件 和 打印 服务 ， 以 及 数据 库 和 邮件 应 用 程序 

网 络 负载 平衡 ONLB) 使 用 TCP/IP 网 络 协议 在 多 台 服 务 器 中 分 配 流量 。 当 负载 增加 时 ，NLB 
通过 添加 其 他 服务 器 来 确保 无 状态 应 用 程序 (如 运行 Intemet 信息 服务 (1S) 的 Web 服务 器 ) 
可 以 伸缩 ， 此 时 NLB 特别 有 用 

Windows Server Backup 允许 对 操作 系统 、 应 用 程序 和 数据 进行 备份 和 恢复 。 可 以 将 备份 安 
排 为 每 天 运行 一 次 或 更 频繁 ， 并 且 可 以 保护 整个 服务 器 或 特定 的 卷 

Windows 系统 资源 管理 器 (WSRM) 是 Windows Server 操作 系统 管理 工具 ， 可 控制 CPU 和 
内 存 资源 的 分 配方 式 。 对 资源 分 配 进行 管理 可 提高 系统 性 能 并 减少 应 用 程序 、 服 务 或 进程 因 
互相 干扰 而 降低 服务 器 效率 和 系统 响应 能 力 的 风险 

Windows Intemet 名 称 服务 (WINS) 服 务 器 提供 分 布 式 数据 库 , 为 网 络 上 使 用 的 计算 机 和 组 提 
供 注册 和 查询 NetBIOS 动态 映射 名 称 的 服务 。WINS 将 NetBIOS 名 称 映 射 到 IP 地 址 ， 
并 可 解决 在 路 由 环境 中 解析 _NetBIOS 名称 引起 的 问题 

不 管 计 算 机 是 否 具有 无 线 适 配器 ， 无 线 LAN (WLAN) 服 务 都 可 配置 并 启动 WLAN 自动 配 
置 服务 。WLAN 自动 配置 可 枚 举 无 线 适配器 ， 并 可 管理 无 线 连接 和 无 线 配置 文件 ， 这 些 配 
置 文件 包含 用 于 配置 无 线 客户 端 使 其 连接 到 无 线 网 络 所 需 的 设置 


Windows Internal Database 


Windows Internal Database 是 仅 可 供 Windows 角色 和 功能 (如 UDDI 服务 、Active Directory 
权限 管理 服务 (AD RMS)、Windows 服务 器 更 新 服务 和 Windows 系统 资源 管理 器 ) 使 用 的 关 
系 型 数据 存储 


Windows PowerShell 


Windows PowerShell 是 一 种 命令 行 Shell 和 脚本 语言 ， 可 帮助 IT 专业 人 员 提 高 工作 效率 。 
它 提 供 了 新 的 侧重 于 管理 员 的 脚本 语言 和 130 多 种 标准 命令 行 工具 , 可 使 系统 管理 变 得 更 轻 
松 并 可 加 速 实现 自动 化 功能 
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功 能 描 述 


续 表 


Windows 进程 激活 服务 (WAS) 通 过 删除 对 HTTP 的 依赖 关系 ， 可 统一 IIS 进程 模型 。 通 过 
使 用 非 HTTP 协议 ， 以 前 只 可 用 于 HTTP 应 用 程序 的 IS 的 所 有 功能 现在 都 可 用 于 运行 
Windows Communication Foundation (WCF) 服 务 的 应 用 程序 。IIS 7.0 还 使 用 WAS 通过 
HTTP 实现 基于 消息 的 激活 


Windows 进程 激活 服务 


3.2 ”服务 器 管理 器 


服务 器 管理 器 是 扩展 的 Microsoft 管理 控制 台 (MMC)， 人 允许 查看 和 管理 影响 服务 器 工作 效率 的 几乎 所 
有 信息 和 工具 。 

服务 器 管理 器 允许 管理 员 使 用 单个 工具 就 可 完成 以 下 任务 ， 从 而 使 服务 器 管理 更 高 效 。 
查看 和 更 改 服务 器 上 已 安装 的 服务 器 角色 及 功能 。 
执行 与 服务 器 的 运行 生命 周期 相关 联 的 管理 任务 ， 如 启动 或 停止 服务 以 及 管理 本 地 用 户 账户 。 
执行 与 服务 器 上 已 安装 角色 的 运行 生命 周期 相关 联 的 管理 任务 。 
确定 服务 器 状态 ， 识 别 关键 事件 ， 分 析 并 解决 配置 问题 和 故障 。 
服务 器 管理 器 中 的 功能 


如 图 3-4 所 示 ， 服 务 器 管理 器 包括 以 下 功能 。 

于“ 初始 配置 任务 。 完 成 安装 Windows Server@ 2008 之 后 ， 在 企业 中 部 署 新 服务 之 前 ， 需 要 一 些 配 
置 来 标识 计算 机 ， 使 用 户 的 网 络 中 的 其 他 计算 资源 识别 该 计算 机 ， 保 护 计算 机 ， 并 通过 添加 服务 
器 角色 和 功能 自 定义 计算 机 。 

于 “可 以 通过 在 “初始 配置 任务 ”窗口 中 使 用 命令 来 完成 这 些 任务 ， 此 窗口 在 操作 系统 安装 完成 之 后 
会 立即 打开 。 

a 在 服务 器 上 安装 或 删除 角色 、 角 色 服 务 和 功能 的 简单 、 易 用 的 向 导 。 管 理 员 不 再 需要 使 用 “添加 
或 删除 Windows 组 件 ” 安 装 或 配置 服务 器 角色 ， 也 不 必 担 心 在 安装 或 删除 角色 或 功能 期 间 丢失 
重要 的 软件 程序 。 可 以 通过 使 用 “服务 器 管理 器 ”向 导 在 单个 会 话 中 安装 或 删除 多 个 角色 、 角 色 
服务 或 功能 。 简 单 并 且 有 提示 信息 的 向 导 消除 了 猜测 。 


I 


问 单 基本 55 技术 和 村 (军统 局 缴 
二 新 包 委 下:) 六 单 基本 WPS RE 主 4E) 到 


Hi I | 


3-4 “服务 器 管理 器 ”窗口 
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“服务 器 管理 器 ”中 的 可 用 向 导 如 下 。 
=。 添加 角色 向 导 。 

删除 角色 向 导 。 

添加 角色 服务 向 导 。 

a 删除 角色 服务 向 导 。 

a ”添加 功能 向 导 。 

a ”删除 功能 向 导 。 

每 个 已 安装 服务 器 角色 的 主页 ， 即 使 在 服务 器 上 安装 了 多 个 服务 器 角色 ， 管 理 员 也 可 以 使 用 “服务 器 
管理 器 ”执行 针对 所 有 这 些 角色 的 管理 任务 。 

“服务 器 管理 器 ” 主 窗口 中 可 展开 的 “功能 ”部 分 将 显示 已 安装 的 功能 ， 并 提供 可 用 于 安装 和 删除 功 
的 命令 。“ 服 务 器 管理 器 ”中 的 “功能 ”主页 显示 有 关 已 安装 功能 的 详细 信息 ， 其 中 包括 对 已 安装 功能 
的 描述 。 

“服务 器 管理 器 ” 主 窗口 中 可 展开 的 “服务 器 摘要 ”部 分 。 有 关 本 地 计算 机 、 其 身份 、 操 作 系统 、 网 
络 连接 和 事件 日 志 的 信息 可 在 一 个 方便 的 位 置 获得 “安全 信息 ”区 域 显示 是 否 在 服务 器 上 启用 了 Windows 
防火 墙 或 Windows 更 新 ， 并 显示 服务 器 检查 更 新 的 最 近 时 间 。 

通过 使 用 “服务 器 管理 器 ”命令 行 实现 的 无 人 参与 的 角色 、 角 色 服务 或 功能 安装 。 可 以 通过 使 用 单个 
命令 实例 或 通过 使 用 XML 答案 文件 来 安装 或 删除 角色 、 角 色 服务 和 功能 。 有 关 “ 服 务 器 管理 器 ”命令 行 
的 详细 信息 ， 可 参阅 “服务 器 管理 器 ”的 帮助 。 


3.3 ”实战 1: 添加 功能 


任务 描述 
能 够 给 服务 器 添加 需要 的 功能 ， 了 解 功能 在 服务 器 上 的 作用 。 
实战 环境 


到 Windows Server 2008 企业 版 操作 系统 。 

”能够 连接 到 Internet。 

实战 目标 

能 够 学 会 给 服务 器 安装 “Telnet 客户 端 ”。 

使 用 telnet 命令 测试 是 否 能 够 访问 服务 器 的 某 个 端口 。 
能 够 给 服务 器 安装 “桌面 体验 ”功能 。 

体会 功能 在 服务 器 上 的 作用 。 


任务 : 在 服务 器 上 安装 功能 


以 下 步骤 将 会 给 服务 器 安装 Telnet 客户 端 和 桌面 体验 ， 然 后 使 用 telnet 命令 测试 能 否 打 开 远 程 服务 器 
的 某 个 端口 ， 更 改 Windows 主题 为 Windows Vista 界面 。 
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桌面 体验 功能 是 Windows Server 2008 操作 系统 中 的 一 项 新 功能 。 桌 面体 验 包 括 Windows Vista 操 
作 系 统 中 提供 的 多 种 应 用 程序 和 功能 。 如 果 将 Windows Server 2008 用 作 主 要 操作 系统 , 则 可 能 希望 将 其 
中 某 些 Windows Vista 功能 用 于 日 常 使 用 。 
什么 是 桌面 体验 功能 
桌面 体验 功能 包括 下 列 Windows Vista 组 件 和 功能 。 
mm Windows 日 历 。 
m WindowsMail。 
Windows Media Player。 
Windows Aero(TM) 和 其 他 桌面 主题 。 
Windows 视频 (AVI 支持 )。 
Windows 照片 库 。 
Windows SideShow(TMD)。 
Windows Defender。 
磁盘 清理 。 
同步 中 心 。 
录音 机 。 
字符 映射 。 
以 管理 员 的 身份 登录 服务 器 ， 打 开 “ 服 务 器 管理 器 ”窗口 。 
@ 如 图 3-5 所 示 ， 选 中 “功能 ”选项 ， 单 击 “ 添 加 功能 ”按钮 。 
@ 如 图 3-6 所 示 ， 在 选择 功能 界面 中 ， 选 中 “Telnet 客户 端 ” 和 “桌面 体验 ”选项 。 
@ 单 击 “ 下 一 步 ” 按 钮 ， 完 成 安装 ， 重 启 系统 。 
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图 3-5 添加 功能 图 3-6 选择 功能 


@ 再 次 以 管理 员 身 份 登录 操作 系统 ， 打 开 “ 服 务 器 管理 ”窗口 ， 选 择 “ 配 置 ”一 “服务 ”命令 ， 如 
图 3-7 所 示 ， 双 击 “Themes” 服 务 。 

回 将 其 启动 类 型 改 为 “自动 ”， 单 击 “ 应 用 ”按钮 ， 单 击 “ 启 动 ” 按 钮 。 

@ 右 击 桌面 空白 处 , 在 弹出 的 快捷 菜单 中 选择 “个 性 化 ”命令 , 打开 “主题 设置 ”对 话 框 , 单 击 “ 主 
题 ” 标签， 如 图 3-8 所 示 。 可 以 选择 Windows Vista， 单 击 “ 确 定 ” 按 钮 。 此 时 , 会 发 现 Windows 
Server 2008 界面 变 成 了 Vista 风格 。 
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图 3-8 更 改 桌 面 主题 


回 选择 “开始 ”一 “运行 ”命令 ， 在 打开 的 “运行 ”对 话 框 中 输入 cmd， 打 开 命 令 行 界面 。 


@ 输入 telnet www.inhe.net 80， 测 试 是 否 能 够 打开 银河 网 站 的 80 端口 ， 如 图 3-9 所 示 。 
=|clx] 
z| 
图 3-9 使 用 telnet 测试 能 否 访问 服务 器 的 某 个 端口 
@ ”如果 出 现 如 图 3-10 所 示 的 窗口 ， 则 表示 能 够 打开 银河 网 站 的 80 端口 。 注 意 ， 别 关 掉 这 个 窗口 。 


国 Telnet wwwinhenet =I9|x] 


图 3-10 Telnet 成 功 
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@ 再 打开 一 个 命令 行 窗口 ， 输 入 netstat -n， 可 以 看 到 Telnet 建立 的 会 话 ， 如 图 3-11 所 示 。 


国信 CWndows\system32\emd .exe jjx| 
局 


ESTADLISHED 


图 3-11 查看 到 的 会 话 


名” 如果 出 现 如 图 3-12 所 示 的 窗口 ， 则 表示 不 能 打开 银河 网 站 的 80 端口 。 这 种 情况 下 用 下 浏览 器 也 
不 能 访问 该 网 站 。 


图 3-12 打开 端口 失败 


3.4 配置 和 管理 硬件 


1. 什么 是 驱动 程序 

驱动 程序 是 一 种 允许 计算 机 与 硬件 或 设备 之 间 进 行 通信 的 软件 。 如 果 没 有 驱动 程序 软件 ， 连 接 的 硬件 
(例如 ， 视 频 卡 或 打印 机 ) 将 无 法 正常 工作 。 

多 数 情况 下 ，Windows 附带 驱动 程序 软件 ， 或 者 可 以 通过 转 到 “控制 面板 ”中 的 Windows Update 
并 检查 是 否 有 更 新 来 查找 驱动 程序 软件 。 如 果 Windows 没有 所 需 的 驱动 程序 ， 则 可 以 在 要 使 用 的 硬件 或 
设备 附带 的 光盘 中 或 者 制造 商 的 网 站 找到 该 驱动 程序 。 


2. 什么 是 签名 的 驱动 程序 


签名 的 驱动 程序 是 一 种 包含 数字 签名 的 设备 驱动 程序 软件 。 签名 是 一 种 电子 安全 性 标记 ， 它 可 以 
指明 软件 的 发 行者 ， 以 及 是 否 有 人 已 更 改 驱动 程序 软件 程序 包 的 原 有 内 容 。 如 果 驱 动 程序 已 由 使 用 证 书 颁 
发 机 构 验证 其 身份 的 发 行者 签名 ， 则 可 以 确信 驱动 程序 软件 实际 来 自 该 发 布 者 并 且 没有 被 更 改 。 

如 果 驱 动 程序 软件 没有 签名 ， 未 由 使 用 证 书 颁 发 机 构 验证 其 身份 的 发 布 者 签名 ， 或 者 自发 行 以 来 已 进 
行 了 更 改 ， 则 Windows 将 通过 以 下 其 中 一 条 消息 警告 用 户 。 

ma ”错误 ! 超 链接 引用 无 效 。 

该 驱动 程序 软件 没有 数字 签名 ， 或 者 它 的 数字 签名 没有 经 过 证 书 颁发 机 构 的 验证 。 如 果 用 户 通过 
原 有 制造 商 的 光盘 或 通过 系统 管理 员 获 取 该 驱动 程序 软件 ， 则 应 只 安装 该 驱动 程序 软件 。 

和 ”该 驱动 程序 软件 已 被 更 改 。 

该 驱动 程序 软件 由 已 验证 的 发 行者 进行 数字 签名 之 后 已 被 更 改 。 该 程序 包 可 能 已 被 更 改 为 包含 可 
能 损害 计算 机 或 盗 取 信息 的 恶意 软件 。 极 少数 情况 下 ， 合 法 发 行者 在 驱动 程序 软件 程序 包 已 进行 
数字 签名 之 后 确实 对 其 进行 过 更 改 。 如 果 用 户 通过 原 有 制造 商 的 光盘 获取 已 更 改 的 驱动 程序 软件 ， 
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则 应 只 安装 该 软件 。 
于 Windows 无 法 安装 该 驱动 程序 软件 。 
缺少 有 效 数字 签名 的 驱动 程序 软件 ， 或 者 对 其 进行 签名 之 后 已 被 更 改 的 驱动 程序 软件 不 能 安装 在 
基于 x64 版 本 的 Windows 上 。 因 此 ， 如 果 用 户 运行 的 是 基于 x64 版 本 的 Windows， 则 只 会 看 
到 此 消息 。 
如 果 试 图 安装 驱动 程序 软件 时 看 到 这 些 消息 中 的 任何 消息 ， 则 应 访问 设备 制造 商 的 支持 网 站 ， 以 获取 
有 数字 签名 的 设备 驱动 程序 软件 。 


3.4.1 设备 管理 器 的 用 途 


设备 管理 器 具有 以 下 用 途 。 
确定 计算 机 上 的 硬件 是 否 工作 正常 。 
更 改 硬件 配置 设置 。 
标识 为 每 个 设备 加 载 的 设备 驱动 程序 ， 并 获取 有 关 每 个 设备 驱动 程序 的 信息 。 
更 改 设备 的 高 级 设置 和 属性 。 安 装 更 新 的 设备 驱动 程序 。 
“启用 ”、“ 禁 用 ”和 “外 载 ”设备 。 
回 滚 到 驱动 程序 的 前 一 版 本 。 
基于 设备 的 类 型 、 按 设备 与 计算 机 的 连接 或 按 设备 所 使 用 的 资源 来 查看 设备 。 
显示 或 隐藏 不 必 查 看 ， 但 对 高 级 疑难 解答 而 言 可 能 必需 的 隐藏 设备 。 
通常 将 使 用 设备 管理 器 来 检查 硬件 的 状态 以 及 更 新 计算 机 上 的 设备 驱动 程序 。 完 全 了 解 计算 机 硬件 的 
高 级 用 户 还 可 以 使 用 设备 管理 器 的 诊断 功能 解决 设备 冲突 和 更 改 资源 设置 。 
一 般 来 说 ， 不 需要 使 用 设备 管理 器 更 改 资源 设置 ， 因 为 在 硬件 安装 过 程 中 系统 会 自动 分 配 资源 。 


3.4.2 ”卸载 设备 的 过 程 


1. 卸载 即 插 即 用 设备 

通常 ,不 需要 外 载 即 插 即 用 设备 , 只 需 断 开 或 拔 出 设备 就 可 以 使 Windows 不 加 载 或 不 使 用 驱动 程序 。 
某 些 设备 可 能 要 求 先 关 闭 计算 机 。 

2. 和 卸载 非 即 插 即 用 设备 

卸载 非 即 插 即 用 设备 通常 包括 以 下 两 个 步骤 。 

中 ”使 用 设备 管理 器 卸载 设备 。 

@ 从 计算 机 中 移 除 该 设备 。 

使 用 设备 管理 器 卸载 非 即 插 即 用 设备 。 务 载 设备 后 ， 必 须 从 计算 机 中 物理 地 断 开 或 移 除 设备 。 例 如 
如 果 设 备 连 接 到 计算 机 外 侧 的 端口 ， 则 关闭 计算 机 ， 断 开设 备 与 端口 的 连接 ， 然 后 拔 出 设备 的 电源 线 。 

3. 启用 和 禁用 与 安装 和 和 扼 载 

可 以 禁用 即 插 即 用 设备 ,而 无 须 和 卸载 可 能 再 次 连接 的 设备 (如 调制 解 调 器 )。 禁 用 设备 时 ,设备 虽然 与 计 
算 机 保持 物理 连接 ,但 Windows 会 更 新 系统 注册 表 ， 以 使 启动 计算 机 时 不 加 载 设备 的 设备 驱动 程序 。 启 
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目 设 备 时 ， 驱 动 程 序 将 再 次 可 用 。 如 果 想 使 计算 机 拥有 多 种 硬件 配置 ， 或 者 如 果 拥有 在 扩展 坞 中 使 用 的 便 


携 式 计算 机 ， 则 禁用 设备 很 有 用 。 


3.4.3 ”和 扼 载 或 重新 安装 设备 
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E 题 所 提供 的 过 程 可 以 用 于 和 扼 载 和 重新 安装 硬件 设备 。 


印 载 设备 。 
重新 安装 即 插 即 用 设备 。 
重新 安装 非 即 插 即 用 设备 。 


本 地 Administrators 组 的 成 员 身份 或 同等 身份 ， 是 完成 此 过 程 的 最 低 要 求 。 可 在 此 主题 的 “其 他 考虑 
事项 ”中 查看 详细 信息 。 

1. 扼 载 设备 

通常 ， 印 载 即 插 即 用 设备 不 需要 使 用 设备 管理 器 ， 只 需 从 计算 机 断 开 即 插 即 用 设备 即 可 。 但 是 ， 根 据 
设备 的 类 型 ， 可 能 必须 重新 启动 计算 机 。 

和 抒 载 设备 的 步 又 如 下 。 


© 


@ 
@ 
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打开 “设备 管理 器 ”。 

双击 要 卸载 设备 的 类 型 。 

右 击 所 需 的 特定 设备 ， 然 后 在 弹出 的 快捷 菜单 中 选择 “ 印 载 ” 命令。 也 可 以 双击 设备 ， 然 后 在 “ 驱 
动 程序 ”选项 卡 中 单 击 “ 外 载 ”按钮 。 

如 图 3-13 所 示 ， 如 果 还 要 从 驱动 程序 存储 区 中 删除 设备 驱动 程序 包 ， 则 在 “确认 设备 删除 ”对 话 
框 中 选中 “删除 此 设备 的 驱动 程序 软件 ” 复 选 框 。 
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图 3-13 ”删除 硬件 驱动 


提示 : “删除 此 设备 的 驱动 程序 软件 ”选项 将 从 驱动 程序 存储 区 中 删除 程序 包 。 该 选项 不 删除 任何 其 他 
”使 用 同一 驱动 程序 的 操作 设备 的 当前 所 安装 的 驱动 程序 。 如 果 从 存储 区 中 删除 驱动 程序 ， 并 将 设备 再 次 
连接 到 计算 机 ， 则 Windows 必须 在 标准 搜索 位 置 中 搜索 驱动 程序 包 的 副本 ， 包 括 可 能 会 提示 用 户 插入 
介质 。 
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回 单 击 “确定 ”按钮 ， 完 成 印 载 过 程 。 

@ ” 印 载 过 程 完 成 时 ， 应 从 计算 机 中 拔 出 设备 。 

如 果 系 统 提示 重新 启动 计算 机 ， 则 删除 未 完成 ， 且 设备 可 能 继续 运行 ， 直 到 重新 启动 计算 机 为 止 。 

2. 重新 安装 即 插 即 用 设备 

只 有 在 设备 工作 不 正常 或 已 完全 停止 工作 时 才 需 要 重新 安装 设备 。 重 新 安装 设备 前 ， 应 尝试 重新 启动 
计算 机 并 检查 设备 ， 以 确定 其 是 否 正 常 运行 。 如 果 运行 不 正常 ， 则 应 尝试 重新 安装 该 设备 。 

@ 打开 设备 管理 器 。 

@ ”按照 前 面 过 程 中 的 说 明 执行 操作 以 外 载 设备 。 

3. 重新 安装 非 即 插 即 用 设备 

只 有 在 设备 工作 不 正常 或 已 完全 停止 工作 时 才 需 要 重新 安装 设备 。 重 新 安装 设备 前 ， 应 尝试 重新 启动 
计算 机 并 检查 设备 ， 以 确定 其 是 否 正 常 运行 。 如 果 运 行 不 正常 ， 则 应 尝试 重新 安装 该 设备 。 

Q@ 打开 设备 管理 器 。 

@ 按照 第 一 个 过 程 中 的 说 明 执 行 操作 以 印 载 设 备 。 

图 右 击 细节 窗 格 中 项 部 的 节点 。 

@ 在 弹出 的 快捷 菜单 中 选择 “添加 过 时 硬件 ”命令 。 

回 在 “添加 硬件 向 导 ” 中 ， 单 击 “ 下 一 步 ”按钮 ， 然 后 按照 屏幕 上 的 说 明 执 行 操作 。 


3.4.4 ”修复 或 更 新 驱动 程序 


如 果 硬 件 设备 未 正常 工作 ， 或 者 安装 的 程序 或 游戏 声明 它 需 要 比 当 前 安装 的 驱动 程序 软件 更 新 的 驱动 
程序 软件 ， 则 应 检查 Windows Update 以 获取 更 新 的 驱动 程序 软件 。 如 果 技 术 支 持 人 员 要 求 用 户 通过 光 
栖 或 设备 制造 商 的 网 站 安装 驱动 程序 软件 ， 则 还 可 以 手动 更 新 设备 的 驱动 程序 软件 。 

1. 使 用 Windows Update 更 新 驱动 程序 软件 


@ 打开 Windows Update。 如 果 系 统 提示 用 户 输入 管理 员 密码 或 进行 确认 , 应 输入 密码 或 提供 确认 。 
@ 如 图 3-14 所 示 ， 在 左 窗 格 中 ， 单 击 “ 检 查 更 新 ”选项 。 


图 3-14 ”检查 更 新 


图 若 要 查看 是 否 有 更 新 的 驱动 程序 软件 可 用 , 如 图 3-15 所 示 , 单 击 “ 查 看 可 用 更 新 ”按钮 。Windows 
Update 将 列 出 计算 机 中 已 安装 设备 可 用 的 所 有 更 新 的 驱动 程序 软件 。 

@@ 如 图 3-16 所 示 ， 如 果 更 新 可 用 ， 则 单 击 要 安装 的 驱动 程序 软件 ， 然 后 单 击 “ 安 装 ” 按 钮 。 如 果 系 
统 提 示 输 入 管理 员 密 码 或 进行 确认 ， 应 输入 密码 或 提供 确认 。 
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图 3-15 查看 可 用 的 更 新 图 3-16 可 用 的 更 新 


2. Windows Update 驱动 程序 设置 

以 下 设置 将 会 配置 计算 机 连接 新 设备 时 ， 使 用 Windows Update 自动 检查 驱动 程序 。 

@ 打开 “服务 器 管理 器 ”， 如 图 3-17 所 示 ， 单 击 “更 改 系统 属性 ”按钮 ， 在 “系统 属性 ”对 话 框 中 ， 
单 击 “Windows Update 驱动 程序 设置 ”按钮 。 

@ 如 图 3-18 所 示 ， 选 中 “自动 检查 驱动 程序 ” 单 选 按钮 ， 单 击 “ 确 定 ” 按 钮 。 


PP 


图 3-17 Windows Update 驱动 程序 设置 图 3-18 设置 自动 检查 驱动 程序 


3. 手动 更 新 驱动 程序 软件 


必须 以 管理 员 身份 进行 登录 ， 才 能 执行 这 些 步骤 。 
Q@ 打开 设备 管理 器 。 如 果 系 统 提示 输入 管理 员 密码 或 进行 确认 ， 应 输入 密码 或 提供 确认 。 
@ 如 图 3-19 所 示 ， 在 设备 管理 器 中 ， 找 到 要 更 新 的 设备 ， 然 后 双击 该 设备 名 称 。 


图 3-19 手动 更 新 驱动 程序 
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@ 切换 到 “驱动 程序 ”选项 卡 ， 然 后 单 击 “ 更 新 驱动 程序 ”按钮 即 可 。 


3.4.5 ”将 驱动 程序 还 原 到 以 前 的 版 本 


必须 以 管理 员 身 份 进 行 登录 ， 才 能 执行 这 些 步 又 。 


如 果 升 级 驱动 程序 软件 之 后 ， 计 算 机 或 设备 出 现 问题 ， 可 能 希望 将 设备 的 驱动 程序 软件 还 原 到 以 前 的 


版 本 。 


@ 打开 设备 管理 器 。 如 果 系 统 提示 输入 管理 员 密码 或 进行 确认 ， 应 输入 密码 或 提供 确认 。 
加 ”双击 包含 设备 驱动 程序 的 类 别 ， 然 后 双击 要 还 原 到 以 前 的 驱动 程序 版 本 的 设备 名 称 。 
@ 切换 到 “驱动 程序 ”选项 卡 ， 然 后 单 击 “ 回 滚 驱动 程序 ”按钮 ， 如 图 3-20 所 示 。 
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图 3-20 ” 回 滚 驱动 程序 


© 注意 ; 如 果 选 定 的 设备 没有 安装 以 前 版 本 的 驱动 程序 软件 ， 则 “ 回 滚 驱 动 程序 ”按钮 将 不 可 用 。 


3.5 ”实战 2 配置 用 户 和 系统 环境 


任务 描述 


能 够 配置 用 户 的 桌面 环境 、 开 始 菜单 以 适应 用 户 的 使 用 习惯 ， 能 够 配置 用 户 环境 变量 和 系统 变量 。 


实战 环境 


到。 Windows Server 2008 企业 版 操作 系统 。 
和 ”能够 连接 到 Internet。 


实战 目标 


设置 桌面 环境 。 
设置 开始 菜单 。 
配置 用 户 环境 变量 和 系统 变量 。 
使 用 系统 配置 排除 系统 故障 。 


L709: 


@ Windows Server 2008 


”配置 文件 夹 选项 。 


3.5.1 任务 1: 设置 用 户 的 桌面 环境 


将 常用 桌面 图 标 显示 在 桌面 上 。 
名 ”如 图 3-21 所 示 , 右 击 桌面 , 在 弹出 的 快捷 菜单 中 选择 “个 性 化 命令。 此 时 桌面 上 没有 “计算 机 ”、 
“回收 站 ”、“ 控 制 面板 ”、“ 用 户 的 文件 ”、“ 网 络 ” 等 图 标 。 

@ 如 图 3-22 所 示 ， 在 “个 性 化 ”对 话 框 中 ， 单 击 “ 更 改 桌 面 图 标 ” 选 项 。 在 个 性 化 设置 对 话 框 中 ， 


可 以 设置 “Windows 颜色 和 外 观 ”、“ 桌 面 背景 ”、“ 屏 幕 保护 程序 ”、“ 声 音 ”、“ 鼠 标 指 
针 ”、“ 主 题 ” 和 “显示 设置 ”。 


图 3-21 个 性 化 桌面 图 3-22 ”更 改 桌面 图 标 
@ 如 图 3-23 所 示 , 在 “桌面 图 标 设置 ”对 话 框 中 ,分 别 选 中 “计算 机 ”、“ 回 收 站 ”、“ 控 制 面板 ”、 
“用 户 的 文件 ”、“ 网 络 ” 复 选 框 ， 单 击 “ 确 定 ” 按 钮 。 
@ 如 图 3-24 所 示 ， 此 时 可 以 在 桌面 上 看 到 这 些 图 标 。 


图 3-23 选择 桌面 上 显示 的 图 标 图 3-24 桌面 上 显示 的 图 标 


3.5.2 任务 2: 自 定义 任务 栏 和 开始 菜单 


将 “开始 ”菜单 改 成 经 典 模式 ， 扩 展 控制 面板 和 显示 管理 工具 。 

Q@ 单 击 儿 扩 包 ， 默 认 “开始 ”菜单 如 图 3-25 所 示 。 如 果 不 适 合 自己 的 使 用 习惯 ， 则 可 将 其 改 为 伟 
统 的 “开始 ”菜单 。 

加 “如 图 3-26 所 示 ， 右 击 任务 栏 和 “开始 ”菜单 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 。 
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图 3-25 开始 菜单 图 3-26 ”打开 开始 菜单 属性 
@ 在 “任务 栏 和 [开始 」 菜单 属性 ”对 话 框 中 ， 选 中 “传统 [开始 」 菜单” 单 选 按钮 ， 如 图 3-27 所 


示 ， 单 击 “ 确 定 ”按钮 。 
@ 再 次 单 击 国 请 按钮 ， 如 图 3-28 所 示 ， 则 将 看 到 传统 的 “开始 ”菜单 。 
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图 3-28 传统 的 “开始 ”菜单 


图 3-27 选中 “传统 「 开 始 」 菜单 ” 单 选 按钮 


回 如 图 3-29 所 示 ， 在 “任务 栏 和 「 开 始 」 菜 单 属性 ”对 话 框 中 ， 单 击 “ 自 定义 ”按钮 。 


“显示 管理 工具 ” 复 选 杠 ， 单 击 “确定 ”按钮 。 


@ 如 图 3-30 所 示 ， 选 中 “扩展 控制 面板 ”、“ 显 示 管 
起 人 50 开 襄 ] 于 各 吕 竹 到 
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图 3-29 自 定 义 开始 菜单 图 3-30 ”扩展 控制 面板 和 显示 管理 工具 
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@ 再 次 选择 “开始 ”一 “设置 ”一 “控制 面板 ”命令 ， 如 图 3-31 所 示 ， 可 以 看 到 任务 面板 中 的 内 容 
显示 出 来 了 。 
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3-31 验证 扩展 的 控制 面板 


3.5.3 任务 3: 更 改 用 户 的 环境 变量 和 系统 环境 变量 


对 于 特定 的 计算 机 来 说 ， 它 的 各 个 用 户 的 环境 变量 各 不 相同 ， 都 是 它们 各 自 配 置 文件 的 组 成 部 分 。 

a ”系统 环境 变量 应 用 于 整个 系统 。 

”如 果 系统 盘 不 够 用 了 ， 则 可 以 将 当前 用 户 的 临时 文件 位 置 指定 到 其 他 分 区 。 

”如果 将 程序 放 到 了 D 盘 app 文件 夹 下 ， 欲 在 命令 行 任何 路 径 下 都 能 够 运行 时 ， 自 动 搜索 D:\app 
目录 ， 则 需要 更 改 系统 变量 Path 的 值 ， 添 加 D:\app。 

@ 打开 “服务 器 管理 器 ”， 单 击 “ 更 改 系统 属性 ”按钮 。 

@ ”如 图 3-32 所 示 ， 在 出 现 的 “系统 属性 ”对 话 框 中 ， 单 击 “ 环 境 变量 ”按钮 。 
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3-32 ”设置 环境 变量 


@@ 如 图 3-33 所 示 , 单 击 “ 编 辑 ” 按钮 , 将 TEMP 和 TMP 指向 新 的 路 径 。 指 定 的 位 置 必须 提前 创建 。 
@ ”选中 系统 变量 Path， 单 击 “ 编 辑 ” 按 钮 。 
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回 如 图 3-34 所 示 ， 在 后 面 添加 “;e:\app”。 路 径 之 问 需 要 用 “;” 隔 开 。 


天 画 


i 
= 详 量 名 Ft 
四-…] [| WR | 计量 值 D en32 WindowsPowerShell\vl. 0\e \app | 
Ce Cm] [| 
3-33 ”用 户 变量 和 系统 变量 图 3-34 更 改 Path 变量 


3.5.4 任务 4: 使 用 系统 配置 排除 系统 故障 


系统 配置 是 一 种 高 级 工具 ， 可 以 帮助 确定 可 能 阻止 Windows 正常 启动 的 问题 。 可 以 在 禁用 常用 服务 
和 启动 程序 的 情况 下 启动 Windows， 然 后 再 启用 这 些 服务 和 程序 ， 可 以 使 用 二 分 法 快速 找到 导致 问题 的 
服务 或 程序 ， 二 分 法 即 先 禁 用 一 半 服 务 和 程序 ， 看 看 是 否 正 常 ， 如 果 正 常 ， 再 禁用 另 一 半 的 服务 或 程序 ， 
这 样 很 快 就 能 找到 引起 问题 的 服务 或 程序 。 如 果 禁 用 某 个 服务 时 没有 出 现 问题 ， 但 是 启用 后 出 现 问题 ， 则 
可 能 是 此 服务 导致 出 现 这 个 问题 。 

系统 配置 用 于 查找 并 隔离 问题 ， 但 并 不 表示 它 是 启动 管理 程序 。 

若 要 永久 删除 或 者 关闭 在 启动 时 运行 的 程序 或 服务 ， 选 择 “ 开 始 ”一 “运行 ”命令 ， 在 打开 的 “运行 ” 
对 话 框 中 输入 msconfig， 可 以 打开 系统 配置 工具 。 

下 面 说 明 系 统 配置 中 可 用 的 选项 卡 和 选项 。 

1. 常规 

此 选项 卡 中 列 出 了 启动 配置 模式 的 选项 ， 如 图 3-35 所 示 。 

里。 正常 启动 。 以 通常 方式 启动 Windows。 使 用 其 他 两 种 模式 解决 问题 后 , 使 用 此 模式 启动 Windows。 

里 “诊断 启动 。 在 只 使 用 基本 的 服务 和 驱动 程序 的 情况 下 启动 Windows。 此 模式 可 以 帮助 排除 基本 

Windows 文件 造成 此 问题 的 可 能 性 。 
”有 选择 的 启动 。 在 使 用 基本 服务 和 驱动 程序 以 及 选择 的 其 他 服务 和 启动 程序 的 情况 下 启动 


Windows。 
2. 启动 
如 图 3-36 所 示 ， 显 示 操作 系统 的 配置 选项 和 高 级 调试 设置 ， 包 括 以 下 内 容 。 
于 “最 小 : 在 仅 运 行 关键 系统 服务 的 安全 模式 下 启动 Windows 图 形 用 户 界面 (Windows Explorer)。 


网 络 已 禁用 。 
”其 他 外 壳 : 在 仅 运行 关键 系统 服务 的 安全 模式 下 启动 Windows 命令 提示 。 网 络 和 图 形 用 户 界面 
已 禁用 。 
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@ ce Pr 


和 ”Active Directory 修复 : 在 仅 运行 关键 系统 服务 和 Active Directory 的 安全 模式 下 启动 Windows 
图 形 用 户 界 面 。 

和 网络 : 在 仅 运 行 关键 系统 服务 的 安全 模式 下 启动 Windows 图 形 用 户 界 面 。 网 络 已 禁用 。 

于 “无 GUI 启动 : 启动 时 不 显示 Windows 初始 屏幕 。 

和 ”启动 日 志 : 将 启动 进程 中 的 所 有 信息 都 存储 在 %SystemRoot%Ntbtlog.txt 文件 中 。 

基本 视频 : 在 最 小 VGA 模式 下 启动 Windows 图 形 用 户 界 面 . 这 样 会 加 载 标准 的 VGA 驱动 程序 ， 

而 不 显示 特定 于 计算 机 上 视频 硬件 的 驱动 程序 。 

OS 启动 信息 : 显示 启动 过 程 中 加 载 的 驱动 程序 名 称 。 

使 所 有 启动 设置 成 为 永久 设置 : 不 跟踪 在 系统 配置 中 所 作 的 更 改 。 之 后 可 以 使 用 系统 配置 更 改选 

项 ， 但 是 一 定 要 手动 更 改 。 当 选中 该 选项 时 ， 无 法 通过 选择 “常规 ”选项 卡 中 的 “正常 启动 ” 

回 滚 更 改 。 


| mm pa lu Ian JIR 


ERE 


Ca 


Pe 
DS ed 
pr Bava 

MN 


a Pr 
eu re HR Der Pe) ED 
Fw 


CC 


图 3-35 系统 配置 工具 图 3-36 ”启动 设置 


3. 服务 

如 图 3-37 所 示 ， 列 出 计算 机 启动 时 启动 的 所 有 服务 及 其 当前 状态 (“正在 运行 ”还 是 “已 停止 ”)。 使 
用 “服务 ”选项 卡 启用 或 禁用 启动 时 的 个 别 服务 ， 以 便 查找 可 能 引起 启动 问题 的 服务 。 

选中 “隐藏 所 有 Microsoft 服务 ” 复 选 框 ， 在 服务 列表 中 仅 显示 第 三 方 应 用 程序 。 取 消 选中 某 服务 的 
复 选 框 以 便 下 次 启动 时 禁用 该 服务 。 如 果 已 选中 “常规 ”选项 卡 中 的 “有 选择 的 启动 ” 单 选 按钮 ， 必 须 选 
中 “常规 ”选项 卡 中 的 “正常 启动 ” 单 选 按 钮 ， 或 选中 该 服务 的 复 选 框 以 在 启动 时 再 次 启动 此 服务 。 

©@ 警告 ， 禁 用 启动 时 正常 运行 的 服务 可 能 会 造成 某 些 程序 出 现 故 障 或 导致 系统 不 稳定 。 除非 知道 计算 机 操 


作 不 需要 该 列表 中 的 服务 ， 否 则 不 要 禁用 这 些 服务 。 单 击 “ 全 部 禁用 ”将 不 会 禁用 某 些 操作 系统 启动 时 
所 需 的 安全 的 Microsoft 服务 。 


4. 启用 

如 图 3-38 所 示 ， 列 出 计算 机 启动 时 运行 的 应 用 程序 及 其 发 行者 的 名 称 、 可 执行 文件 的 路 径 、 注 册 表 项 
的 位 置 或 运行 此 应 用 程序 的 快捷 方式 。 

取消 选中 某 启动 项 的 复 选 框 以 便 下 次 启动 时 禁用 该 启动 项 。 如 果 已 选中 “常规 ”选项 卡 中 的 “有 选择 
的 启动 ”， 必 须 选 择 “常规 ”选项 卡 中 的 “正常 启动 ” 单 选 按钮 ， 或 选择 该 启动 项 的 复 选 框 以 在 启动 时 
再 次 启动 该 启动 项 。 

如 果 怀 疑 某 个 应 用 程序 已 经 不 太 安全 ， 应 检查 “命令 ” 列 查 看 该 可 执行 文件 的 路 径 。 
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图 3-37 ”服务 设置 图 3-38 自动 启动 设置 


© 注意 ; 禁用 启动 时 正常 运行 的 应 用 程序 可 能 会 导致 相关 的 应 用 程序 启动 速度 变 慢 或 者 没有 如 期 运行 。 


3.5.5 ”任务 5: 配置 文件 夹 选项 


配置 文件 夹 选项 ， 显 示 隐藏 的 文件 夹 和 系统 文件 夹 ， 显 示 文 件 扩展 名 。 

@ 选择 “开始 ”一 “程序 ”一 “设置 ”一 “控制 面板 ”命令 ， 如 图 3-39 所 示 ， 双 击 “ 文 件 夹 选项 ” 
图 标 打 开 “ 文 件 夹 选 项 ”对 话 框 ， 切 换 到 “查看 ”选项 卡 。 

@ 如 图 3-40 所 示 ， 取消 选中 “使 用 共享 向 导 (推荐 )” 复 选 框 。 这 样 共享 文件 夹 时 就 不 会 出 现 向 导 了 。 

@ 取消 选中 “隐藏 受 保护 的 系统 文件 (推荐 )” 复 选 框 。 如 果 想 查看 系统 文件 的 话 ， 可 以 显示 出 来 。 

@ ”取消 选中 “隐藏 已 知 文件 类 型 的 扩展 名 ” 复 选 框 。 这 样 就 可 以 看 到 文件 的 扩展 名 了 。 


© 注意 ; 文件 天 选项 只 对 当前 用 户 生效 。 


图 3-39 文件 夹 选 项 图 3-40 设置 文件 夹 显示 


3.6 实战 3: 配置 IE 选项 


任务 描述 
能 够 配置 匡 浏览 器 的 主页 ， 添 加 /删除 搜索 提供 程序 ， 配 置 下 浏览 器 的 安全 和 仿冒 网 站 过 滤 ， 能 够 改 
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变 浏览 器 的 增强 的 安全 配置 ， 能 够 学 会 配置 正 浏览 器 使 用 代理 服务 器 。 


实战 环境 
”Windows Server 2008 企业 版 操作 系统 。 
”能 够 连接 到 Internet。 
实战 目标 
”设置 下 浏览 器 的 主页 。 
”增加 搜索 提供 程序 。 
”配置 增强 的 安全 配置 和 启用 仿冒 网 站 过 滤器 。 
于 “配置 IE 使 用 代理 服务 器 。 
“不 让 更 关键 时 候 “ 罢 工 ”。 
3.6.1 任务 1: 定义 IE 浏览 器 主页 和 搜索 提供 程序 
@ 右 击 桌 面 上 的 图 图 标 ,在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ,打开 “Internet 属性 ”对 话 框 。IE 
7.0 支持 多 个 主页 ， 可 以 输入 和 欲 打开 下 默认 访问 的 网 站 ， 如 图 3-41 所 示 ， 每 一 行 输入 一 个 网 址 。 
@ 在 “搜索 ”选项 组 中 ， 单 击 “ 设 置 ”按钮 ， 打 开 “ 更 改 搜索 默认 值 ”对 话 框 ， 如 图 3-42 所 示 ， 可 
以 指定 默认 的 下 搜索 提供 程序 。 
二 询 私 | 内 容 | 选 据 | 鹤 原 | 融 汶 TE 
| RR EA) 
浏览 历史 记录 
全 时 人 下 呈 AIEDPRIR 
ole i 
» 下 扣 要 认 值 。 二 
他 时 届 R 下 在 选项 上 中 旦 水 的 方式 。 所 黄村 | | 关 
TE ] TR | SF | (Wh | | TD | 
Es Ga | | ED Ca 
图 3-41 设置 IE 首页 图 3-42 ”设置 搜索 提供 程序 
@ 在 “更 改 搜索 默认 值 “ 对 话 框 中 ， 如 图 3-42 所 示 ， 单 击 “ 查 找 更 多 提供 程序 ”按钮 。 
@ 在 打开 的 网 页 中 ， 如 图 3-43 所 示 ， 单 击 Google 选项 ， 则 可 以 “创建 你 自己 的 ”搜索 提供 程序 。 
注意 观察 现在 的 搜索 默认 提供 程序 是 “百度 ”。 
回 ”如 图 3-44 所 示 ， 在 打开 的 对 话 框 中 ， 选 中 “将 它 设置 为 默认 搜索 提供 程序 ” 复 选 框 ， 单 击 “ 添 加 
提供 程序 ”按钮 。 
@ ”关闭 下 浏览 器 ， 双 击 桌 面 上 的 图 图 标 ， 打 开 IE 浏览 器 ， 如 图 3-45 所 示 。 注 意 ， 现 在 默认 打开 西 
个 主页 ， 默认 搜索 提供 程序 是 Google。 
@ ”如 图 3-46 所 示 ， 输 入 “奥运 会 ”， 单 击剑 图 标 就 能 在 Google 上 搜 到 与 “奥运 会 ”相关 的 信息 。 
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图 3-44 ”添加 搜索 提供 程序 
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Google a | 位 用 他 他 
所 所 有 网 页 “日 中 文 网 页 简体 中 文 网 页 后 中 国 的 网 页 


网 页 。 的 有 75,800,000 项 符合 奥运 会 的 查询 结果 ， 以 下 是 第 1-10 项 《搜索 用 时 0.06 炒 ) 
等 有 疝 庆 接 


月 -日 -站 - Fa-GIAG- 


北京 久 适 会 大 型 新 闻 图 片 采 在 石 开 管 车 。 谷歌 2008 砷 季 束 事主 页 
但 要 压 席 前 彩 - 2008 年 9 月 11 电 奖牌 动态 ， 精 彩 图 片 、 视 频 、 资 讯 
本 挫 9 月 1 日 讯 (记者 刘 或 如 ) 可 腕 北京 关 。 精 条 杰 况 ,一 陪 为 忆 
二 会 从 点 塌 六 火 到 华表 开 革 ， www google cn/2008 

片 舌 ， 今 天 在 省 情 先 清 拉 开 能 在 此 要 示 伐 的 广 全 


河北 新 闻 网 -7 其 夫 
rp TTT 


EET] Nom ~ 


图 3-45 更 改 搜索 提供 程序 图 3-46 使 用 Google 搜索 引擎 


3.6.2 任务 2: 设置 IE 安全 并 打开 自动 仿冒 网 站 筛选 器 


联机 仿冒 (Phishing 发 音 为 fishing) 是 通过 欺诈 电子 邮件 或 网 站 来 诱 使 计算 机 用 户 透露 个 人 信息 或 财 

务 信息 的 伎俩 。 常 见 联 机 仿冒 骗局 从 看 似 来 自 受 信任 源 的 官方 通知 的 电子 邮件 开始 ， 如 银行 、 信 用 卡 公司 

或 可 信 的 在 线 商店 。 在 电子 邮件 中 , 收 件 人 被 定向 到 要 求 提供 个 人 信息 (例如 账号 或 密码 ) 的 欺骗 性 网 站 。 该 
信息 通常 用 于 身份 偷窃 。 

Q@ 在 还 浏览 器 属性 对 话 框 中 ， 切 换 到 “安全 ”选项 卡 。 单 击 Internet、“ 本 地 Intranet”、“ 可 信 

站 点 ”和 “ 受 限 站 点 ”， 可 以 看 到 有 不 同 的 安全 级 别 ， 分 别 如 图 3-47 一 图 3-50 所 示 。 并 且 这 些 区 

域 的 安全 级 别 不 能 调整 ， 因 为 默认 启用 了 增强 的 安全 配置 ， 在 后 面 步骤 将 会 为 管理 员 去 掉 增 强 的 


安全 配置 。 
@ 选中 “打开 自动 仿冒 网 站 筛选 器 ” 单 选 按钮 ， 如 图 3-51 所 示 ， 在 出 现 的 最 前 端 提示 对 话 框 中 单 击 
“关闭 ”按钮 。 


图 ”这样 下 浏览 器 将 在 高 安全 下 浏览 该 网 站 ， 如 图 3-52 所 示 ， 此 时 很 多 功能 受 限 ， 比 如 Flash 动画 
不 能 播放 ， 脚 本 不 能 运行 ， 不 能 下 载 东 西 。 
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如 图 3-53 所 示 ， 单 击 正 浏览 器 “工具 ”按钮 ， 在 弹出 的 下 拉 菜 单 中 选择 “Internet 选项 ”命令 ， 
打开 “Internet 选项 ”对 话 框 。 

在 “Internet 选项 ”对 话 框 中 ， 如 图 3-54 所 示 ， 选 中 “可 信 站 点 ”选项 ， 单 击 “ 站 点 ”按钮 。 
如 图 3-55 所 示 ， 将 www.inhe.net 网 站 加 入 到 “可 信 站 点 ”。 

再 次 刷新 www.inhe.net 网 站 ， 发 现 网 页 中 的 图 片 能 动 了 ， 但 是 gif 的 图 片 不 能 显示 。 

如 图 3-56 所 示 ， 单 击 下 浏览 器 “工具 ”按钮 ， 在 弹出 的 下 拉 菜 单 中 选择 “ 仿 昌 网 站 筛选 ”一 “ 打 
开 自 动 网 站 检查 ”命令 。 


@ 
@) 
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图 3-47 Internet 区 域 安全 级 别 
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图 3-49 可 信 站 点 的 安全 级 别 
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3-51 Internet 默认 安全 级 别 3-52 ”默认 的 安全 级 别 Flash 不 能 播放 
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图 3-54 管理 可 信 站 点 
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TT FT- 
图 3-55 ”将 银河 网 址 添加 到 受信 站 点 图 3-56 选择 “打开 自动 网 站 检查 ”命令 
3.6.3 任务 3: 禁用 Internet Explorer 增强 的 安全 配置 


Internet Explorer 增强 的 安全 配置 (IE ESC) 采用 一 种 方式 配置 你 的 服务 器 和 Microsoft Internet 
Explorer， 从 而 降低 服务 器 受 Web 内 容 和 应 用 程序 脚本 潜在 攻击 的 暴露 程度 。 通 过 提高 Internet Explorer 
安全 区 域 上 的 默认 安全 级 别 并 且 更 改 默认 设置 来 实现 此 功能 。 


© 


加 
四 
@ 
© 


关闭 Internet Explorer 的 所 有 实例 。 

打开 “服务 器 管理 器 ”窗口 。 如 图 3-57 所 示 ， 在 “安全 信息 ”下 ， 单 击 “ 配 置 下 ESC” 按 钮 。 
若 要 禁用 IE ESC， 如 图 3-58 所 示 ， 在 “管理 员 ” 选 项 区 ， 选 中 “禁用 ” 单 选 按 钮 ， 在 “用 户 ” 
选项 区 ， 选 中 “启用 (推荐 )” 单 选 按钮 。 然 后 单 击 “ 确 定 ” 按 钮 。 

再 次 访问 www.inhe.net， 发 现 一 切 正常 。 

再 次 打开 “Internet 选项 ”对 话 框 ， 查 看 Internet 的 安全 级 别 ， 如 图 3-59 所 示 ， 现 在 可 以 调整 各 
区 域 的 安全 级 别 了 。 现 在 可 像 Windows Vista 一 样 访 问 Internet 网 站 了 。 
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图 3-57 配置 IE ESC 


计生 人 看 的 二 安全 说 午 。 
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图 3-58 禁用 增强 的 安全 配置 图 3-59 调整 各 个 区 域 安全 级 别 


3.6.4 任务 4: 配置 IE 使 用 代理 


代理 服务 器 是 在 Web 浏览 器 (如 Internet Explorer) 和 Internet 之 间 起 媒介 作用 的 计算 机 。 代 理 服务 
器 通过 存储 经 常 使 用 的 网 页 副本 来 提高 Web 性 能 。 当 浏览 器 请 求 存储 在 代理 服务 器 收集 (其 缓存 ) 中 的 网 
页 时 ， 网 页 由 代理 服务 器 提供 ， 这 比 进入 Web 的 速度 要 快 。 通 过 过 滤 掉 某 些 Web 内 容 和 恶意 软件 ， 代 
理 服务 器 还 可 以 提高 安全 性 。 著 名 的 代理 软件 有 微软 的 ISA 2006 和 CCproxy。 


提示 : 代理 服务 器 多 数 由 组 织 和 公司 中 的 网 络 使 用 。 通常， 从 家 中 连接 到 Internet 的 用 户 不 使 用 代理 服 
务 器 。 


在 如 图 3-60 所 示 的 “Internet 选项 ”对 话 框 的 “连接 ”选项 卡 中 ， 单 击 “ 局 域 网 设置 ”按钮 。 
如 图 3-61 所 示 ， 在 “局 域 网 (LAN) 设 置 ”对 话 框 的 “地 址 ”文本 框 中 ， 输 入 代理 服务 器 的 地 址 。 
在 “端口 ”文本 框 中 ， 输 入 端口 号 。 

如 果 网 络 对 不 同 的 服务 (如 HTTP、HTTPS 或 FTP) 需 要 单独 的 代理 地 址 ， 可 单 击 “ 高 级 ”按钮 ， 
然后 输入 要 使 用 的 单独 代理 服务 器 地 址 ， 如 图 3-62 所 示 。 

访问 企业 内 部 网 站 不 需要 使 用 代理 ， 在 “例外 情况 ”选项 区 域 中 ， 输 入 那些 直接 访问 的 网 址 。 
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CMD) CHAD env [ Ceo CD Cm 
图 3-60 设置 连接 设置 图 3-61 指定 代理 服务 器 和 端口 图 3-62 ”代理 服务 器 设置 


完成 更 改 后 ， 单 击 “ 确 定 ”按钮 ， 直 到 返回 Internet Explorer。 
3.6.5 任务 5: 不 让 IE 关键 时 候 “ 罢 工 ” 


不 少 网 络 管理 员 反 映 ， 在 Windows Server 2008 系统 环境 下 ， 使 用 Internet Explorer 浏览 器 上 网 访问 
内 容 时 ， 常 常 在 页 面 内 容 打 开 到 一 半 的 时 候 ，IE 浏览 器 窗口 出 现 突然 关闭 的 现象 ， 很 显然 这 种 现象 如 果 频 
繁 出 现 的 话 ， 自 然 会 降低 上 网 冲浪 的 效率 。 为 了 有 效 地 提高 在 Windows Server 2008 系统 环境 下 的 上 网 访 
问 效率 ， 可 以 按照 如 下 步骤 来 避免 下 浏览 器 窗口 发 生 自动 关闭 现象 。 
Q@ 首先 以 超级 用 户 权 限 进入 Windows Server 2008 系 统 , 然后 右 击 该 系统 桌面 中 的 Internet Explorer 
程序 图 标 ， 在 弹出 的 快捷 菜单 中 选择 “Internet 属性 ”命令 ， 打 开 “Internet 属性 ”对 话 框 。 
加 如 图 3-63 所 示 ， 单 击 “ 安 全 ”标签 ， 打 开 “ 安 全 ”选项 卡 ， 选 中 Internet 选项 ， 并 取消 选中 “ 启 
用 保护 模式 (要 求 重新 启动 Internet Explorerm” 复 选 框 。 之 后 ， 按 照相 同 的 操作 方法 ， 选 中 “本 地 
Intranet” 选 项 ， 取 消 选中 “启用 保护 模式 (要 求 重新 启动 Internet Explorer)” 复 选 框 。 
加 若 经 过 上 面 的 设置 ，Internet Explorer 浏览 器 仍然 会 在 关键 时 刻 “ 黑 工 ”， 则 不 妨 单 击 “Internet 
属性 ”对 话 框 中 的 “高 级 ”标签 ， 切 换 到 “高 级 ”选项 卡 ， 如 图 3-64 所 示 。 单 击 “ 重 置 ” 按 钮 ， 
这 样 Internet Explorer 浏览 器 的 工作 状态 就 会 恢复 到 原始 状态 , 此 时 IE 浏览 器 在 关键 时 候 就 不 会 
再 “罢工 ”了 。 
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3.7 实战 4: 配置 反 间 谍 软 件 Windows Defender 


间谍 软件 是 可 以 自行 安装 的 软件 ， 或 者 未 提供 足够 通知 、 同 意 或 控制 就 在 计算 机 上 运行 的 软件 。 间 谍 
软件 在 感染 计算 机 后 可 能 不 显示 任何 症状 ， 但 许多 类 型 的 恶意 软件 或 不 需要 的 程序 都 可 以 影响 计算 机 的 运 
行 方式 。 例 如 ， 间 谍 软 件 可 以 监视 在 线 行为 ， 或 者 收集 有 关 用 户 的 信息 (包括 个 人 标识 或 其 他 敏感 信息 )， 更 
改 计算 机 设置 或 降低 计算 机 的 运行 速度 。 

在 使 用 计算 机 的 同时 运行 反 间 谍 软件 非常 重要 。 间 谍 软 件 和 其 他 可 能 不 需要 的 软件 会 在 用 户 连 接 到 
Internet 时 尝试 自行 安装 到 计算 机 上 。 如 果 使 用 CD、DVD 或 其 他 可 移动 介质 安装 程序 ， 它 也 会 感染 计 
算 机 。 不 需要 的 或 恶意 软件 并 非 仅 在 安装 后 才能 运行 ， 它 还 会 被 编程 为 随时 运行 。 


3.7.1 


如 何 知道 计算 机 上 有 间谍 软件 或 不 需要 的 软件 


在 以 下 情况 下 ， 计 算 机 上 可 能 有 某 种 形式 的 间谍 软件 。 


通知 无 意 添加 到 Web 浏览 器 的 新 工具 栏 、 链 接 或 收藏 夹 。 
默认 的 主页 、 鼠 标 指针 或 搜索 程序 更 改 。 

输入 特定 网 站 (如 搜索 引擎 ) 的 地 址 ， 但 未 予 通知 即 转 到 另 一 网 站 。 
看 到 弹出 广告 ， 即 使 未 在 Internet 上 。 

计算 机 突然 开始 启动 或 运行 缓慢 。 


即使 未 发 现任 何 症状 ， 计 算 机 上 也 可 能 有 间谍 软件 。 这 种 软件 可 以 在 未 经 认可 或 同意 的 情况 下 ， 收 集 
关于 用 户 和 计算 机 的 信息 。 只 要 使 用 计算 机 即 运行 Windows Defender 可 有 助 于 发 现 和 删除 此 类 软件 。 


3.7.2 ”如 何 防止 间谍 软件 感染 计算 机 


下 面 儿 种 方法 可 防止 间谍 软件 感染 计算 机 。 


运行 最 新 的 防 间谍 软件 。 此 Windows 版 本 所 附 的 Windows Defender 有 助 于 防止 在 计算 机 上 
自行 安装 或 运行 恶意 软件 、 间 谍 软 件 和 其 他 可 能 不 需要 的 软件 或 广告 软件 。 可 以 自动 发 现 和 删除 
可 能 已 安装 的 恶意 软件 。 

使 计算 机 保持 在 最 新 状态 。Microsoft 通常 发 布 安全 更 新 来 帮助 防止 在 未 经 确认 的 情况 下 安装 间 
谍 软 件 。 大 多 数 新 的 防 病毒 程序 都 有 间谍 软件 保护 ， 也 应 将 其 保持 在 最 新 状态 。 推 荐 启用 
Windows 自动 更 新 ， 并 定期 更 新 间谍 软件 和 防 病毒 程序 。 

安装 软件 前 检查 许可 协议 。 访 问 网 站 时 ， 不 自动 同意 下 载 站 点 提供 的 任何 内 容 。 如 果 下 载 免费 软 
件 ， 如 文件 共享 程序 或 屏幕 保护 程序 ， 应 详细 阅读 许可 协议 。 查 找 必须 接受 公司 广告 和 弹出 页 面 
的 条 款 ， 或 者 软件 将 某 些 信息 发 回 软件 发 行者 的 条 款 。 


Windows Defender 提供 了 3 种 途径 来 帮助 阻止 间谍 软件 和 其 他 可 能 不 需要 的 软件 感染 计算 机 。 
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实时 保护 。 当 间谍 软件 或 其 他 可 能 不 需要 的 软件 试图 在 计算 机 上 自行 安装 或 运行 时 ，Windows 
Defender 会 发 出 警报 。 如 果 程 序 试图 更 改 重 要 的 Windows 设置 ， 它 也 会 发 出 警报 。 

SpyNet 社区 。 联 机 Microsoft SpyNet 社区 可 帮助 查看 其 他 人 是 如 何 响应 未 按 风 险 分 类 的 软件 
的 。 查 看 社区 中 其 他 成 员 是 否 允 许 使 用 此 软件 ， 能 够 帮助 选择 是 否 允 许 此 软件 在 计算 机 上 运行 。 


第 3 章 配置 Windows Server 2008 环境 


同样 ， 如 果 加 入 社区 ， 用 户 的 选择 也 将 添加 到 社区 分 级 以 帮助 其 他 人 作出 选择 。 

时” 扫描 选项 。 使 用 Windows Defender 可 以 扫描 可 能 已 安装 到 计算 机 上 的 间谍 软件 和 其 他 可 能 不 

需要 的 软件 ， 定 期 计划 扫描 ， 还 可 以 自动 删除 扫描 过 程 中 检测 到 的 任何 恶意 软件 。 

使 用 Windows Defender 时 ， 更 新 定义 非常 重要 。 定 义 是 一 些 文件 ， 它 们 就 像 一 本 不 断 更 新 的 有 关 
潜在 软件 威胁 的 百科 全 书 。Windows Defender 使 用 这 些 定义 来 确定 它 所 检测 的 软件 是 否 为 间谍 软件 或 其 
他 可 能 不 需要 的 软件 ， 然 后 发 出 警报 提示 潜在 风险 。 为 了 帮助 用 户 保持 定义 为 最 新 ，Windows Defender 
与 Windows Update 一 起 运行 ， 以 便 在 发 布 新 定义 时 自动 进行 安装 。 另 外 ， 还 可 将 Windows Defender 
设置 为 在 扫描 之 前 联机 检查 更 新 的 定义 。 


3.7.3 任务 : 配置 Windows Defender 


下 面 的 实战 将 配置 Windows Defender 反 间 谍 软 件 ， 启 用 实时 监控 和 自动 更 新 。 
Q@@ 如 图 3-65 所 示 ， 打 开 “ 控 制 面板 ”窗口 ， 单 击 Windows Defender 选项 。 


图 3-65 打开 Windows Defender 


如 图 3-66 所 示 ， 在 Windows Defender 窗口 中 ， 选 择 “工具 ”一 “选项 ”命令 。 

如 图 3-67 所 示 ， 配 置 每 天 自动 扫描 ， 选 中 “扫描 前 检查 更 新 的 定义 ”和 “扫描 过 程 中 将 默认 操作 
应 用 到 检测 到 的 项 目 ” 复 选 框 。 

图 默认 操作 ，“ 高 警报 项 目 ” 选 择 删除 ，“ 中 等 警报 项 目 ” 选 择 删除 ，“ 低 警报 项 目 ” 选 择 默认 


四 昌 


图 3-66 设置 Windows Defender 图 3-67 配置 扫描 频率 以 及 采取 的 措施 
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回 如 图 3-68 所 示 ， 配 置 “ 实 时 保护 选项 ”和 “高 级 选项 ”。 


图 3-68 配置 “实时 保护 选项 ”和 “高 级 选项 ” 


3.8 配置 网 络 中 心 


3.8.1 选择 网 络 位 置 


第 一 次 连接 到 网 络 时 ， 必 须 选 择 网 络 位 置 。 这 将 为 所 连接 网 络 的 类 型 自动 设置 恰当 的 防火 墙 设置 。 如 
果 用 户 在 不 同 的 位 置 (例如 ， 家庭、 本 地 咖啡 店 或 办 公 室 ) 连 接 到 网 络 , 则 选择 一 个 网 络 位 置 可 帮助 确保 始终 
将 计算 机 设置 为 适当 的 安全 级 别 。 
有 3 个 网 络 位 置 ， 家庭 、 办 公 室 和 公共 场所 。 
a ”家庭 或 办 公 室 ， 如 果 用 户 认识 并 信任 网 络 上 的 人 和 设备 ， 可 为 家 庭 或 小 型 办 公 网 络 选择 以 上 位 置 
中 的 任 一 位 置 。 默 认 情况 下 ， 网 络 发 现 处 于 启用 状态 ， 它 允许 你 查看 网 络 上 的 其 他 计算 机 和 设备 
并 多 许 其 他 网 络 用 户 查看 你 的 计算 机 。 有 关 详 细 信息 ， 可 参阅 什么 是 网 络 发 现 。 
公共 场所 为 公共 场所 (例如 ， 咖 啡 店 或 机 场 ) 中 的 网 络 选择 此 位 置 。 此 位 置 间 在 使 你 的 计算 机 对 
周围 的 计算 机 不 可 见 ， 并 且 帮 助 保护 计算 机 免 受 来 自 Internet 的 任何 恶意 软件 的 攻击 。 对 此 位 置 
禁用 网 络 发 现 。 


© 注意 ;如 果 网 络 上 只 有 一 台 计 算 机 并 且 你 无 须 共享 文件 或 打印 机 ， 则 最 安全 的 选择 是 “公共 场所 ”。 


1. Windows 防火 墙 如 何 影响 网 络 位 置 


当 在 公共 场所 连接 到 网 络 时 ，“ 公 共 场 所 ”位 置 会 阻止 某 些 程序 和 服务 运行 ， 这 样 可 帮助 保护 计算 机 
阻止 未 授权 的 访问 。 如 果 连 接 到 “公共 场所 ”并 且 Windows 防火 墙 处 于 打开 状态 ， 则 某 些 程序 或 服务 可 
能 会 要 求 用 户 对 其 解除 阻止 (允许 其 通过 防火 墙 进行 通信 )， 以 便 这 些 程序 或 服务 可 以 正常 工作 。 

如 果 对 某 个 程序 解除 了 阻止 , 则 对 于 与 当前 连接 到 的 网 络 具 有 相同 位 置 类 型 的 所 有 网 络 , Windows 防 
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火 墙 都 将 解除 其 对 该 程序 的 阻止 。 例 如 ， 如 果 在 咖啡 店 连接 到 网 络 并 选择 “公共 场所 ”作为 位 置 类 型 ， 然 
后 解除 了 对 一 个 即时 消息 程序 的 阻止 ， 则 “公共 场所 ”位 置 中 的 所 有 网 络 对 该 程序 的 阻止 都 将 被 解除 。 

如 果 在 连接 到 公共 网 络 时 解除 了 对 多 个 程序 的 阻止 ， 可 考虑 将 网 络 位 置 更 改 为 “家 庭 ” 或 “办 公 室 ”。 
相对 于 影响 连接 到 的 每 个 公共 网 络 ， 这 一 更 改 操作 可 能 会 更 安全 。 但 应 注意 ， 如 果 进 行 了 此 更 改 ， 计 算 机 
将 对 网 络 上 的 其 他 人 可 见 。 


2. 允许 程序 通过 防火 墙 有 何 风 险 


当 在 防火 墙 中 创建 一 个 例外 或 者 打开 一 个 端口 时 ， 便 已 允许 某 个 特殊 的 程序 从 计算 机 通过 防火 墙 发 
送 或 接收 消息 。 允 许 程序 通过 防火 墙 进行 通信 (有 时 称 为 解除 阻止 ) 就 像 是 在 防火 墙 中 打开 了 一 扇 很 小 的 门 。 

每 次 为 程序 创建 一 个 例外 或 打开 一 个 端口 以 便 其 通过 防火 墙 进行 通信 时 , 计算 机 的 安全 性 也 随 之 降低 。 
防火 墙 拥 有 的 例外 或 打开 的 端口 越 多 ， 黑 客 或 恶意 软件 使 用 这 些 通道 传播 蠕虫 、 访 问 文件 或 使 用 计算 机 将 
恶意 软件 传播 到 其 他 计算 机 的 机 会 也 就 越 大 。 

通常 ， 创 建 程序 例外 比 打开 端口 更 为 安全 。 如 果 打 开 一 个 端口 ， 无 论 程序 是 否 正 在 使 用 它 ， 该 端口 都 
将 始终 保持 打开 状态 ， 直 到 将 其 关闭 。 如 果 创 建 一 个 例外 ， 这 个 “ 门 ” 仅 会 在 需要 进行 特殊 通信 时 才 打开 。 

降低 安全 风险 建议 如 下 。 

于 仅 在 真正 需要 时 创建 例外 或 打开 端口 ， 并 且 删 除 不 再 需要 的 例外 或 关闭 不 再 需要 的 端口 。 

和 ” 切 勿 为 不 知道 的 程序 创建 例外 或 打开 端口 。 


3. 什么 是 网 络 发 现 


网 络 发 现 是 一 种 网 络 设置 ， 该 设置 会 影响 你 的 计算 机 是 否 可 以 查看 (找到 ) 网 络 上 的 其 他 计算 机 和 设置 ， 
以 及 网 络 上 的 其 他 计算 机 是 否 可 以 查看 你 的 计算 机 。 

存在 以 下 三 种 网 络 发 现状 态 。 

”启用 。 此 状态 允许 你 的 计算 机 查看 其 他 网 络 计算 机 和 设备 ， 并 允许 其 他 网 络 计算 机 上 的 用 户 查 看 
你 的 计算 机 。 这 使 共享 文件 和 打印 机 变 得 更 加 容易 。 

”禁用 。 此 状态 阻止 你 的 计算 机 查看 其 他 网 络 计算 机 和 设备 ， 并 阻止 其 他 网 络 计算 机 上 的 用 户 查 看 
你 的 计算 机 。 

于 自 定义 。 这 是 一 种 混合 状态 ， 在 此 状态 下 与 网 络 发 现 有 关 的 部 分 设置 已 启用 ， 但 不 是 所 有 设置 都 
启用 。 例 如 ， 可 以 打开 网 络 发 现 ， 但 是 用 户 或 系统 管理 员 可 能 禁用 了 会 影响 网 络 发 现 的 防火 墙 
例外 。 

4. 通过 公用 文件 夹 共享 文件 

通过 公用 文件 夹 ， 可 方便 地 共享 计算 机 上 保存 的 文件 。 可 以 与 使 用 同一 台 计 算 机 的 其 他 用 户 和 同一 网 

络 中 使 用 其 他 计算 机 的 用 户 共享 此 文件 夹 中 的 文件 。 放 入 公用 文件 夹 的 任何 文件 或 文件 夹 都 将 自动 与 具有 
访问 公用 文件 夹 权 限 的 用 户 共享 。 

”哪些 人 可 以 访问 公用 文件 夹 
拥有 计算 机 的 用 户 账户 和 密码 的 人 都 可 以 访问 公用 文件 来， 但 可 以 决定 是 否 允 许 网 络 中 的 任何 人 
访问 公用 文件 夹 。 无 法 选择 哪些 人 可 以 通过 网 络 访问 公用 文件 夹 。 要 么 将 访问 权限 授予 网 络 中 的 
所 有 人 ， 要 么 不 授予 任何 人 。 但 是 ， 可 以 通过 那些 具有 访问 公用 文件 夹 权 限 的 用 户 来 选择 是 否 只 
能 打开 文件 ， 或 还 可 以 更 改 和 创建 文件 ， 来 设置 权限 级 别 。 
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还 可 以 打开 密码 保护 的 共享 。 这 使 只 具有 计算 机 的 用 户 账户 和 密码 的 用 户 才 具有 对 公用 文件 夹 的 
网 络 访问 权限 。 

公用 文件 夹 中 有 什么 

在 你 或 使 用 你 的 计算 机 的 其 他 人 向 其 添加 文件 之 前 ， 公 用 文件 夹 中 不 包含 任何 文件 。 公 用 文件 夹 
包含 若干 子 文件 夹 ， 这 有 助 于 你 管理 共享 的 文件 。 这 些 文件 夹 的 大 多 数 都 是 通过 内 容 类 型 进行 管 
理 的 ， 包 括 以 下 内 容 。 

。 公用 文档 。 

。 公用 下 载 。 

。 公用 音乐 。 

。 公用 图 片 。 

。 公用 视频 。 

应 在 公用 文件 夹 中 放置 什么 

这 取决 于 你 ， 但 一 般 来 说 ， 应 将 要 共享 的 任何 文件 或 文件 夹 放 到 公用 文件 夹 中 ， 将 要 共享 的 歌曲 
复制 或 移动 到 公用 音乐 文件 夹 中 ， 将 图 片 复制 或 移动 到 公用 图 片 文件 夹 等 。 甚 至 可 以 将 Internet 
Explorer 收藏 夹 复制 到 公用 收藏 夹 文件 夹 中 ， 使 其 他 人 能 访问 你 的 Web 链接 。 公 用 文件 夹 是 放 
置 共 享 文件 的 合适 位 置 ， 实 现 与 授予 了 公用 文件 夹 访问 权限 的 用 户 共享 文件 。 

不 应 将 不 希望 让 他 人 看 到 或 只 希望 某 些 人 访问 的 文件 放 到 公用 文件 夹 中 。 可 以 通过 非 公用 文件 夹 
来 共享 它们 。 


3.8.2 任务 1: 网 络 位 置 对 访问 网 络 资源 的 影响 


任务 描述 
更 改 网 络 位 置 来 保护 计算 机 网 络 安全 ， 清 楚 更 改 网 络 位 置 对 访问 网 络 资源 的 影响 ， 掌 握 更 改 网 络 位 置 


的 意义 。 
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本 实战 将 更 改 WebServer 的 网 络 位 置 ， 在 Windows Server 2008 上 测试 WebServer 网 络 位 置 变化 对 
访问 WebServer 的 影响 。 


实战 环境 


Windows Server 2008 企业 版 操作 系统 Windows Server 2008，IP 地 址 10.7.10.114。 
Windows Server 2008 企业 版 操作 系统 WebServer，IP 地 址 10.7.10.102。 


实战 目标 


清楚 网 络 位 置 对 网 络 安全 的 影响 。 
更 改 WebServer 上 的 网 络 位 置 。 
在 Windows Server 2008 上 测试 WebServer 网 络 位 置 变化 对 访问 WebServer 的 影响 。 


实战 步骤 如 下 。 
@ 在 WebServer 上 ， 如 图 3-69 所 示 ， 单 击 任务 栏 上 的 而 图 标 ， 单 击 “ 网 络 和 共享 中 心 ”选项 。 
@@ 如 图 3-70 所 示 ， 网 络 位 置 为 “公用 网 络 ”，“ 网 络 发 现 ” 关 闭 ，“ 文 件 共享 ”关闭 ，“ 公 用 文件 


来 共享 ”关闭 ，“ 打 印 机 共享 ”关闭 ，“ 密 码 保护 的 共享 ”启用 。 


当前 连接 到 
Mh meee 


| |©|°|aB St em" 


图 3-69 打开 “网 络 和 共享 中 心 ” 3-70 ”查看 共享 和 发 现 


@ ”双击 桌面 上 的 “网 络 ” 图 标 ， 如 图 3-71 所 示 ， 因 关闭 了 “网 络 发 现 ”， 不 能 访问 浏览 到 网 络 中 的 
计算 机 。 当 然 网 络 中 的 其 他 计算 机 也 不 能 从 网 上 发 现 这 台 计 算 机 。 

@ 如 图 3-72 所 示 ， 在 Windows Server 2008 上 ，ping 10.7.10.102 不 通 ， 在 “运行 ”对 话 框 中 输入 
\\10.7.10.102， 单 击 “确定 ”按钮 ， 出 现 “网 络 错误 ”对 话 框 ， 这 表明 不 能 访问 WebServer 的 共 
享 资源 。 


图 3-71 不 能 访问 网 络 资源 图 3-72 访问 网 络 资源 失败 


在 WebServer 上 , 单 击 “ 自 定义 ”按钮 ,位置 类 型 选中 “专用 ”, 单 击 “ 下 一 步 ”按钮 ， 单 击 “ 完 
成 ”按钮 ， 如 图 3-73 所 示 。 

如 图 3-74 所 示 ， 注 意 观察 ，“ 网 络 发 现 ”、“ 文 件 共享 ”已 经 启用 。 

如 图 3-75 所 示 ， 再 次 打开 网 络 ， 可 以 看 到 网 络 中 的 计算 机 ， 同 时 网 络 中 的 计算 机 也 能 看 到 这 人 台 计 
算 机 。 
在 Windows Server 2008 上 ， 如 图 3-76 所 示 ， 再 次 Ping 10.7.10.102 发 现 能 够 返回 数据 包 ， 先 输 
入 \\10.7.10.102， 再 输入 WebServer 上 的 账号 和 密码 ， 发 现 能 够 访问 其 共享 资源 。 


四 GO@ @ 
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@ Windows Server2008 二 二， 


[m= | 


EE 


3-73 ”改变 网 络 位 置 


3-74 ”启用 “网 络 发 现 ” 和 “文件 共享 ” 


图 3-75 启用 网 络 发 现 后 浏览 网 上 邻居 


3.8.3 任务 2: 启用 公用 文件 夹 共 


任务 描述 


能 够 在 专用 网 络 位 置 启用 公用 文件 夹 共享 ， 进 一 步 理解 网 络 位 置 的 作用 ， 了 解 公共 文件 夹 的 位 置 以 及 


共享 权限 的 设置 。 
实战 环境 


图 3-76 可 以 访问 共享 资源 


至。 Windows Server 2008 企业 版 操作 系统 Windows Server 2008，IP 地 址 10.7.10.114。 
里 Windows Server 2008 企业 版 操作 系统 WebServer，IP 地 址 10.7.10.102。 


实战 目标 


于 “在 WebServer 上 的 专用 网 络 位 置 上 启用 公用 共享 文件 夹 。 


于 ”能够 知道 公用 文件 夹 所 处 的 位 置 。 
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和 ”在 Windows Server 2008 上 测试 访问 WebServer 服务 器 上 共享 的 公用 文件 夹 。 

里 ”更 改 WebServer 上 网 络 位 置 ， 快 速 切换 网 络 安全 配置 。 

实战 步骤 如 下 。 

@ 在 WebServer 上 ， 打开“ 网络 和 共享 中 心 ” 窗 口 ， 如 图 3-77 所 示 ， 在 “公用 文件 夹 共享 ” 右 侧 ， 
单 击 避 按 钮 ， 选 中 “启用 共享 ， 以 便 能 够 访问 网 络 的 任何 人 都 可 以 打开 、 更 改 和 创建 文件 ” 复 

@ 打开 C:\users 目录 ， 可 以 看 到 “公用 ”文件 夹 已 经 为 共享 ， 如 图 3-78 所 示 。 


= [ER ED 


ICE 江口 
om ED 


图 3-77 启用 公用 文件 夹 共享 图 3-78 查看 共享 的 公用 文件 夹 


@ 在 Windows Server 2008 上 ， 如 图 3-79 所 示 ， 访 问 10.7.10.102 共享 文件 夹 ， 可 以 看 到 共享 的 文 
件 夹 public。 

@ 如果 计算 机 在 网 吧 或 其 他 公共 位 置 , 不 应 该 让 其 他 计算 机 访问 你 的 共享 文件 夹 和 其 他 的 共享 资源 ， 
则 需要 将 网 络 位 置 设置 成 “公用 ”， 如 图 3-80 所 示 。 可 见 网 络 位 置 可 以 让 你 快速 切换 网 络 安全 的 


| 0 "GH Sb um 
Dems 


3-79 ”访问 共享 文件 夹 图 3-80 更 改 网 络 位 置 为 “公用 ” 


回 此 时 ， 在 Windows Server 2008 服务 器 上 ， 将 不 能 访问 WebServer 服务 器 上 的 共享 资源 。 


@ Windows Server 2008 1 


3.9 实战 5: 配置 本 地 连接 


任务 描述 


设置 本 地 连接 , 使 其 直接 使 用 TCP/IPv4 进行 通信 ; 能 够 配置 计算 机 使 用 动态 瑟 地 址 、 静态 人 P 地 址 和 
备用 地 址 ， 能 够 给 计算 机 添加 多 个 下 地 址 。 


能 够 设置 本 地 连接 的 全 配置 和 查看 全 配置， 能 够 测试 网 络 连 接 。 
实战 环境 


和 ”Windows Server 2008 企业 版 操作 系统 Windows Server 2008，IP 地 址 10.7.10.114。 
”Windows Server 2008 企业 版 操作 系统 WebServer，IP 地 址 10.7.10.102。 
于 ”网络 中 有 DHCP 服务 器 。 


实战 目标 


配置 本 地 连接 优先 使 用 IPv4 进行 通信 。 

了 解 静态 他 地 址 和 动态 下 地 址 。 

能 够 配置 本 地 连接 的 备用 配置 。 

给 本 地 连接 指定 静态 人 P。 

给 本 地 连接 指定 多 个 IP 地 址 和 网 管 以 及 多 个 DNS 服务 器 。 
查看 全 配置 。 

能 够 测试 网 络 连 接 。 

能 够 使 用 ping 命令 和 ipconfig 命令 。 


3.9.1 任务 1: 配置 本 地 连接 直接 使 用 IPv4 进行 通信 


细心 的 朋友 可 能 会 感觉 到 ， 在 Windows Server 2008 系统 环境 下 无 论 是 上 网 访问 还 是 进行 共享 传输 ， 
网 络 速度 都 没有 以 前 那样 一 气 呵 成 的 感觉 ， 好 像 总 要 比 平时 慢 半 拍 似 的 ， 这 是 什么 原因 呢 ? 


提示 : 按理 说 ，Windows Server 2008 系统 在 网 络 连接 方面 的 功能 应 该 更 加 强大 ， 网 络 传输 速度 应 该 更 快 
才 对 。 其 实 这 种 现象 是 由 于 Windows Server 2008 系统 新 增加 了 TCP/IPv6 通信 协议 引起 的 。 在 上 网 访问 
或 共享 传输 时 ，Windows Server 2008 系统 在 默认 状态 下 会 优先 使 用 TCP/IPV6 通信 协议 进行 网 络 连接 ， 而 
目前 对 应 TCP/IPv6 通信 协议 的 网 络 连接 是 无 效 的 ， 因 为 许多 网 络 设备 还 不 支持 该 协议 进行 通信 ， 在 发 现 
使 用 TCP/IPV6 协议 通信 失败 后 ， 系 统 会 尝试 使 用 TCP/IPv4 协议 进行 通信 ， 很 显然 Windows Server 2008 
系统 的 网 络 连接 过 程 比 以 前 多 走 了 一 些 谊 路 ， 从 而 导致 了 网 络 传输 速度 比 平时 慢 半 拍 。 


要 想 使 网 络 连接 速度 恢复 到 以 前 的 水 平 ， 只 需 按照 如 下 步骤 操作 ， 取 消 TCP/IPv6 协议 的 选中 状态 ， 
以 便 让 Windows Server 2008 系统 直接 使 用 TCP/IPv4 协议 进行 通信 传输 。 
@ 在 WebServer 上 ， 如 图 3-81 所 示 ， 打 开 “ 网 络 和 共享 中 心 ”窗口 ， 单 击 “ 管 理 网 络 连接 ”按钮 。 
加 在 “网 络 连接 ”窗口 ， 双 击 “ 本 地 连接 ”图 标 ， 打 开 “ 本 地 连接 属性 ”对 话 框 ， 如 图 3-82 所 示 。 
此 时 会 看 到 系统 在 默认 状态 下 已 经 自动 选中 了 “Internet 协议 版 本 6(TCP/IPv6)” 复 选 框 ， 这样 的 
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indows Server 2008 


话 Windows Server 2008 系统 就 会 优先 使 用 TCP/IPv6 协议 进行 网 络 连接 ; 为 了 让 Windows 
Server 2008 系统 能 够 自动 使 用 TCP/IPv4 协议 进行 网 络 连接 ， 需 要 取消 选中 “Internet 协议 版 本 
6(TCP/IPv6)” 复 选 框 ， 同 时 保证 “Internet 协议 版 本 4(TCP/IPv4)” 选 项 与 “Microsoft 网 络 的 文 
件 和 打印 机 共享 ”选项 处 于 选中 状态 ， 最 后 单 击 “ 确 定 ” 按 钮 ， 这 样 一 来 Windows Server 2008 
系统 的 网 络 连 接 速 度 就 能 恢复 正常 了 。 


3-81 打开 管理 网 络 连接 图 3-82 去 掉 IPv6 选择 


3.9.2 任务 2: 配置 IP 地 址 


设置 计算 机 人 P 地 址 有 两 种 方式 。 
1. 动态 IP 地 址 


计算 机 有 DHCP 服务 器 分 配 地 址 。 使 用 于 网 络 规模 大 或 计算 机 移动 较为 频繁 的 网 络 ， 这 种 方式 有 以 下 

和 安全 而 可 靠 的 设置 : DHCP 避免 了 因 手 工 设置 全 地 址 及 子 网 掩 码 所 产生 的 错误 , 同时 也 避免 了 把 
一 个 人 P 地 址 分 配给 多 台 工 作 站 所 造成 的 地 址 冲突 。 

时。 降低 了 管理 瑟 地 址 设置 的 负担 : 使 用 DHCP 服务 器 大 大 缩短 了 配置 或 重新 配置 网 络 中 工作 站 所 
花费 的 时 间 ， 而 且 通 过 对 DHCP 服务 器 的 设置 可 灵活 地 设置 PP 地 址 的 租 期 。 同 时 ，DHCP 地 址 
租约 的 更 新 过 程 将 有 助 于 用 户 确定 哪些 客户 的 设置 需要 经 常 更 新 ， 且 这 些 变更 由 客户 机 与 DHCP 
服务 器 自动 完成 ， 无 须 网 络 管理 员 干 涉 。 

于 ”使 用 自动 专用 了 和 寻 址 (APIPA): 在 没有 DHCP 服务 器 的 情况 下 为 DHCP 客户 端 提供 全 地 址 , 地 
址 范围 是 从 169.254.0.1 一 169.254.255.254。 比 如 当 客户 端 在 启动 时 与 本 地 DHCP 服务 器 通讯 失败 ， 
无 法 更 新 它 的 租用 时 ， 它 将 使 用 APIPA 分 配 的 地 址 ， 以 后 每 隔 5 min 尝试 与 外 界 的 DHCP 服务 
器 联系 一 次 ， 直 到 它 可 以 与 DHCP 服务 器 通讯 为 止 。 


2. 静态 IP 地 址 


静态 IP 地 址 就 是 管理 员 指 定 的 固定 计算 机 的 卫 地 址 。 在 网 络 规模 不 大 且 网 络 中 的 计算 机 较为 固定 的 
情况 下 使 用 静态 地 址 。 


kL0L 


系统 管 


3. 配置 动态 IP 和 备用 地 址 


名 在 WebServer 上 ， 打 开 网 络 中 心 ， 单 击 “ 管 理 网 络 连接 ”按钮 。 

@ 打开 “网 络 连接 ”窗口 ， 双 击 “ 本 地 连接 ”图 标 ， 如 图 3-83 所 示 。 在 “本 地 连接 状态 ”对 话 框 
中 ， 单 击 “ 属 性 ”按钮 。 在 “本 地 连接 属性 ”对 话 框 中 ， 选 中 “Internet 协议 版 本 4(TCP/IPv4)” 
复 选 框 ， 单 击 “ 属 性 ”按钮 ， 打 开 如 图 3-84 所 示 的 对 话 框 。 


do sp 
HO DD Ve DUO 
ED 


图 3-83 配置 TCP/IP 属性 


加 如 图 3-84 所 示 ， 切换 到 “常规 ”选项 卡 ， 选 中 “自动 获得 卫 地 址 ”和 “自动 获得 DNS 服务 器 地 
址 ” 单 选 按 钮 。 

@ 如 图 3-85 所 示 ， 切 换 到 “备用 配置 ”选项 卡 ， 用 户 可 以 输入 一 个 指定 的 备用 地 址 。 如 果 计 算 机 从 
网 络 上 没有 获得 人 地 址 ， 将 会 使 用 备用 配置 中 指定 的 下 地 址 ， 而 不 是 使 用 自动 专用 人 P 寻 址 
(APIPA)。 


图 3-84 自动 获得 IP 地 址 图 3-85 配置 备用 配置 


@ 如 图 3-86 所 示 ， 在 “本 地 连接 状态 ”对 话 框 中 ， 单 击 “ 详 细 信息 ”按钮 。 
如 图 3-87 所 示 ， 可 以 看 到 从 DHCP 服务 器 获得 的 人 P 地 址 、 子 网 掩 码 、 网 关 ， 以 及 DNS 服务 器 
的 地 址 、 租 约 过 期 时 间 、DHCP 服务 器 信息 。 
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@ 如 图 3-88 所 示 ， 在 命令 行 输 入 ipconfig /all， 也 可 以 显示 下 配置 。 
[本 地 主 护 拓 态 -ee 浊 | 


网 络 连 接 详 男 舍 息 EE 
.| 4 
连接 一 一 一 一 层 性 值 
ra 这 a ee 
8 这 ion 本 可 tvak co 
持续 时 间 : 01;03:04 是 
0 
语 许 下 255. 255.255.0 
2008 年 9 月 1 日 13:09:37 
2008 年 9 月 24 日 13:09:37 
IT101 
IT 
3 Tr sp 1 
ee - ITPv4 YTNS 那 务 器 10.7110 
Bit — Ms 一 Bi Tczrp 上 的 metHoe .是 
字 节 ao 三 ,235 
同属 性 m) | 容 扣 用 m) | 诊断 (5) 4 四 | 
有 E575 
图 3-86 ”查看 详细 配置 图 3-87 ”查看 获得 的 IP 配置 


G0 NT Net 
8D-9B-FA 


图 3-88 ”查看 TCP/IP 配置 信息 


4. 配置 静态 IP 地 址 


Q@ 打开 “网 络 连接 ”窗口 ， 双 击 “ 本 地 连接 ”图 标 ， 在 “本 地 连接 状态 ”对 话 框 中 ， 单 击 “ 属 性 ” 
按钮 。 在 “本 地 连接 属性 ”对 话 框 中 ， 选 中 “Internet 协议 版 本 4(TCP/IPv4)” 复 选 枉 ， 单 击 “ 属 
性 ”按钮 。 

@ 如 图 3-89 所 示 , 在 “Internet 协议 版 本 4(TCP/IPv4) 属 性 ”对 话 框 中 , 选中 “使 用 下 面 的 卫 地 址 ”， 
输入 静态 卫 地 址 、 子 网 掩 码 、 网 关 。 选 中 “使 用 下 面 的 DNS 服务 器 地 址 ” 单 选 按钮 ， 输 入 “ 首 
选 DNS 服务 器 ”和 “备用 DNS 服务 器 ”的 全 地 址 。 

@@ 单 击 “ 高 级 ”按钮 ， 如 图 3-90 所 示 ， 可 以 给 计算 机 输入 多 个 人 ’ 地 址 和 网 关 。 网 关 就 是 路 由 器 的 
接口 地 址 。 如 果 你 的 网 络 到 其 他 网 段 有 多 个 出 口 ， 则 可 以 添加 多 个 网 关 来 容错 ; 如 果 你 的 网 络 就 

个 出 口 ， 默 认 网 关 指 定 一 个 。 
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图 3-89 指定 静态 IP 地 址 


图 3-90 添加 多 个 IP 地 址 和 网 关 


3.9.3 任务 3: 更 改 计算 机 的 MAC 地 址 


址 标 


MAC(Media Access Control， 介 质 访问 控 制 ) 地 址 是 烧 录 在 网 卡 (Network Interface Card，NIC) 中 的 
MAC 地 址 ， 也 叫 硬 件 地 址 ， 是 由 48 b(6B) 十 六 进 制 的 数字 组 成 。0 一 23 位 ， 由 厂家 自己 分 配 ，24 一 47 位 ， 
叫做 组 织 唯 一 标识 符 (organizationally unique)， 是 识别 LAN( 局 域 网 ) 节 点 的 标识 。 其 中 第 40 位 是 组 播 地 


。 网 卡 的 物理 地 址 通常 是 由 网 卡 生产 厂 家 烧 入 网 卡 的 EPROM( 一 种 闪存 芯片 ， 通 常 可 以 通过 程序 


探 写 )， 它 存储 的 是 传输 数据 时 真正 赖 以 标识 发 出 数据 的 计算 机 和 接收 数据 主机 的 地 址 。 


也 就 是 说 ， 在 


时 ， 逐 个 将 唯一 地 址 赋予 以 太 网 卡 。 
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形象 地 说 ，MAC 


查看 和 更 改 MAC 地 址 


(0 


3-91 显示 MAC 地 址 (一 ) 


指定 的 MAC 地 志 


网 络 底层 的 物理 传输 过 程 中 ， 是 通过 物理 地 址 来 识别 主机 的 ， 它 一 般 也 是 全 球 唯一 的 。 
比如 ， 著 名 的 以 太 网 卡 ， 其 物理 地 址 是 48 b( 比 4 
入 主机 接口 中 。 以 太 网 地 址 管 要 
也 就 是 48b 的 不 同 组 合 ， 分 为 若干 独立 的 连续 


寺 位 ) 的 整数 ， 如 : 44-45-53-54-00-00， 以 机 器 可 读 的 方式 存 


机 构 (除了 管 这 个 外 还 管 别 的 )IEEE, 电气 和 电子 工程 师 协 会 ) 将 以 太 网 地 址 ， 


也 址 组 ， 生 产 以 太 网 网 卡 的 厂家 就 购买 其 中 一 组 ， 上 有 具体 生产 


也 址 就 如 同 我 们 身份 证 上 的 身份 证 号 码 ， 具 有 全 球 唯一 性 。 
有 些 防火 墙 是 以 客户 端的 MAC 地 址 进行 
计算 机 也 可 以 使 用 管理 员 


-网 控制 的 ， 即 使 MAC 地 址 在 出 三 时 就 已 经 固化 在 硬件 中 
来 发 送 和 接收 数据 帧 。 


查看 IP 地 址 方法 ， 在 命令 行 中 输入 ipconfig /al， 如 图 3-91 所 示 ， 在 命令 行 中 输入 getmac， 如 
图 3-92 所 示 ， 均 可 显示 网 卡 的 MAC 


也 址 。 


图 3-92 显示 MAC 地 址 (二 ) 


加 ”如 图 3-93 所 示 ， 在 “本 地 连接 属性 ”对 话 框 中 ， 单 击 “配置 ”按钮 。 
图 如 图 3-94 所 示 ， 选 中 “本 地 管理 地 址 ”选项 ， 输 入 新 的 MAC 地 址 后 。 单 才 


“确定 ”按钮 。 


= 
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图 3-93 配置 网 络 网 卡 图 3-94 指定 MAC 地 址 
@ 再 次 查看 MAC 地 址 ， 输 入 getmac， 如 图 3-95 所 示 。 此 时 可 发 现 已 经 是 管理 员 指定 的 MAC 地 
址 了 。 计算 机 网 卡 上 的 MAC 地 址 是 不 能 更 改 的 , 只 不 过 现在 通信 计算 机 使 用 管理 员 指定 的 MAC 
地 址 发 送 数据 帧 。 


3-95 ”看 到 更 改 后 的 MAC 地 址 


3.10 实战 6: 常用 网 络 排 错 工 


任务 描述 
能 够 学 会 使 用 常用 网 络 排 错 工具 进行 网 络 故障 诊断 。 
实战 环境 


至。 Windows Server 2008 企业 版 操作 系统 Windows Server 2008。 
于 ”能够 访问 Internet。 


实战 目标 


里 “使 用 ipconfig 检查 本 地 连接 配置 。 

和 ”使 用 ping 测试 网 络 连通 性 。 

于 “使 用 Pathping 跟踪 数据 包 路 径 以 了 解 网 络 状态 。 
里 ”使 用 telnet 测试 到 远程 计算 机 应 用 层 的 连接 。 

里 ”使 用 netstat 检测 网 络 状态 。 
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3.10.1 任务 1: 使 用 ipconfig 确认 IP 地 址 配置 正确 


ipconfig 实用 程序 可 用 于 显示 当前 的 TCP/IP 配置 的 设置 值 .这 些 信息 一 般 用 来 检验 入 工 配 置 的 TCP/IP 
设置 是 否 正确 。 但 是 ， 如 果 你 的 计算 机 和 所 在 的 局 域 网 使 用 了 动态 主机 配置 协议 (Dynamic Host 
Configuration Protocol, DHCP 一 一 Windows NT 下 的 一 种 把 较 少 的 人 P 地 址 分 配给 较 多 主机 使 用 的 协议 ， 
类 似 于 拨号 上 网 的 动态 IP 分 配 )， 这 个 程序 所 显示 的 信息 也 许 更 加 实用 。 这 时 ，ipconfig 可 以 让 你 了 解 计 
算 机 是 否 成 功 地 租用 到 一 个 人 P 地 址 ， 如 果 租用 到 ， 则 可 以 了 解 它 目前 分 配 到 的 是 什么 地 址 。 了 解 计 算 机 当 
前 的 瑟 地 址 、 子 网 掩 码 和 默认 网 关 实际 上 是 进行 测试 和 故障 分 析 的 必要 项 目 。 

在 命令 行 输入 ipconfig/all， 查 看 IP 地 址 是 否 冲突 。 如 图 3-96 所 示 ， 提 示 IP 地 址 冲突 ， 需 要 重新 更 改 

-个 他 地 址 。 


和 其 他 计算 机 IP 地 
址 冲突 


使 用 自动 专用 IP 寻 址 
(APIPA) 


图 3-96 查看 IP 配置 


3.10.2 任务 2: 使 用 ping 测试 网 络 连 通 性 


Ping(Packet Internet Grope， 因 特 网 包 探测 器 ) 是 用 于 测试 网 络 连 接 量 的 程序 。ping 发 送 一 个 ICMP 
回声 请 求 消息 给 目的 地 并 报告 是 否 收 到 所 希望 的 ICMP 回声 应 答 。 一 般 用 于 检测 网 络 通 与 不 通 , 也 叫 时 延 ， 
其 值 越 大 ， 速 度 越 慢 。 

它 是 用 来 检查 网 络 是 否 通畅 或 者 网 络 连接 速度 的 命令 。 作 为 一 个 生活 在 网 络 上 的 管理 员 来 说 ，Ping 命 
令 是 第 一 个 必须 掌握 的 DOS 命令 ， 它 所 利用 的 原理 是 这 样 的 : 网 络 上 的 机 器 都 有 唯一 确定 的 下 地 址 ， 我 
们 给 目标 卫 地 址 发 送 一 个 数据 包 ， 对方 就 要 返回 一 个 同样 大 小 的 数据 包 , 根据 返回 的 数据 包 我 们 可 以 确定 
目标 主机 的 存在 ， 可 以 初步 判断 目标 主机 的 操作 系统 等 。 

ping 是 Windows 系列 自 带 的 一 个 可 执行 命令 。 利 用 它 可 以 检查 网 络 是 否 能 够 连通 ， 用 好 它 可 以 很 好 
地 帮助 我 们 分 析 判 定 网 络 故障 。 应 用 格式 : “ping IP 地 址 ”。 该 命令 还 可 以 加 许多 参数 使 用 ， 具 体 是 : 输 
入 ping， 按 Enter 键 即 可 看 到 详细 说 明 。 

Ping 指 的 是 端 对 端 连通 ， 通 常用 来 作为 可 用 性 的 检查 ， 但 是 某 些 病毒 木马 会 强行 大 量 远程 执行 ping 
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命令 而 抢占 网 络 资源 ， 从 而 导致 系统 变 慢 ,网 速 变 慢 。 严禁 ping 入 侵 作 为 大 多 数 防火 墙 的 一 个 基本 功能 提 
供给 用 户 进行 选择 。 

ping 本 机 TP， 如 图 3-97 所 示 ， 本 机 卫 地 址 为 10.7.10.102， 如 果 出 现 来 自 10.7.10.102 的 回复 ， 则 表明 
网 卡 安装 配置 没有 问题 ，IP 地 址 也 不 冲突 ; 如 果 出 现 如 图 3-98 所 示 的 消息 ， 则 表明 下 地 址 冲突 。 


3-97 “IP 地 址 配置 成 功 IP 地 址 冲突 的 情况 


如 图 3-99 所 示 ，ping 网 关 ， 能 通 ， 则 表明 局 域 网 中 的 网 关 路 由 器 在 正常 运行 ; 反之 ， 则 说 明 网 关 有 问 
题 。 局 域 网 延迟 一 般 在 1 ms， 如 果 延 迟 持续 大 于 1 ms， 则 表明 局 域 网 有 点 堵塞 。 加 参数 -t 就 一 直 ping 
下 去 ， 按 Ctrl +C 组 合 键 结束 ， 否 则 测试 4 个 包 结 束 。 


图 3-99 查看 延迟 和 丢 包 率 


Ping 远程 P， 这 一 命令 可 以 检测 本 机 能 否 正 常 访问 Internet。 比 如 本 地 电信 运营 商 的 下 地 址 为 : 
202.99.160.68。 如 图 3-100 所 示 ， 可 以 看 到 到 该 地 址 的 响应 延迟 为 68 ms， 带 宽 比 不 上 局 域 网 。 


jj 


图 3-100 ”测试 到 Internet 的 连通 性 
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Ping 域名 ， 这 一 命令 测试 你 是 否 能 够 解析 域名 。 如 图 3-101 所 示 ，ping www.inhe.net 能 够 解析 出 IP 
地 址 ， 并 且 还 能 够 和 这 个 耳 地 址 连通 。 如 果 出 现 找 不 到 主机 ， 如 图 3-102 所 示 , 那 就 是 域名 解析 出 现 问题 ， 
检查 域名 拼写 是 否 正确 ， 再 就 是 更 改 计算 机 使 用 首选 和 备用 的 DNS 服务 器 。 


图 3-101 测试 域名 解析 


图 3-102 域名 解析 失败 


3.10.3 任务 3: pathping 跟踪 数据 包 的 路 径 


pathping 
提供 有 关 在 


和 目标 之 间 的 中 间 跃 点 处 网 络 滞后 和 网 络 丢 失 的 信息 。Pathping 在 一 段 时 间 内 将 多 个 回 
响 请 求 消息 发 送 到 源 和 目标 之 间 的 各 个 路 由 器 ， 然 后 根据 各 个 路 由 器 
返回 的 数据 包 计算 结果 。 因 为 pathping 显示 在 任何 特定 路 由 器 或 链 
接 处 的 数据 包 的 丢失 程度 ， 所 以 用 户 可 据 此 确定 存在 网 络 问题 的 路 由 
器 或 子 网 。pathping 通过 识别 路 径 上 的 路 由 器 来 执行 与 tracert 命令 
相同 的 功能 。 然 后 ， 该 命令 在 一 段 指定 的 时 间 内 定期 将 ping 命令 发 
送 到 所 有 的 路 由 器 ， 并 根据 每 个 路 由 器 的 返回 数值 生成 统计 结果 。 如 
果 不 指定 参数 ，pathping 则 显示 帮助 。 

如 果 运 行 pathping， 如 图 3-103 所 示 ， 在 测试 问题 时 首先 将 看 到 
路 由 的 结果 。 此 路 径 与 tracert 命令 所 显示 的 路 径 相同 。 然 后 pathping 
命令 将 在 下 一 个 125 ms 内 显示 忙 消息 (此 时 间 根据 跃 点 计数 变化 )。 在 
此 期 间 ，pathping 从 以 前 列 出 的 所 有 路 由 嚣 和 它们 之 间 的 链接 之 间 收 
集 信 息 。 在 此 期 间 结束 时 ， 显 示 测 试 结果 。 图 3-103 路 径 跟踪 和 丢 包 率 


最 下 边 的 两 行 This Node/Link 和 Lost/Sent=Pct Address 包含 最 有 用 的 信息 。172.16.87.218( 跃 点 1) 
和 192.168.52.1( 跃 点 2) 丢 失 13% 的 数据 包 。 所 有 其 他 链接 工作 正常 。 在 跃 点 2 和 4 处 的 路 由 器 也 丢失 了 传 
送 给 它们 的 数据 包 (如 This Node/Link 列 中 所 示 )， 但 是 该 丢失 不 会 影响 它们 的 转发 路 径 。 

对 链接 显示 的 丢失 率 (在 最 右边 的 栏 中 标记 为 1) 表 明 沿 路 径 转 发 所 丢失 的 数据 包 。 该 丢失 表明 链接 阻 
塞 。 对 路 由 器 显示 的 丢失 率 ( 通 过 最 右边 栏 中 的 人 P 地 址 显示 ) 表 明 这 些 路 由 器 的 CPU 可 能 超 负荷 运行 。 这 
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些 阻塞 的 路 由 器 可 能 也 是 端 对 端 问题 的 一 个 因素 ， 尤 其 是 在 软件 路 由 器 转发 数据 包 时 。 
3.10.4 任务 4: 使 用 telnet 检查 TCP 会 话 建立 情况 


要 验证 使 用 已 知 的 目标 TCP 端口 号 是 否 能 建立 TCP 连接 ， 可 以 使 用 telnet IPv4Address TCPPort 命 
。 例 如 ， 要 验证 IPv4 地 浊 为 131.107.78.12 计算 机 上 的 Web 服务 器 服务 是 否 正在 接受 TCP 连接 ， 应 使 
用 telnet 131.107.78.12 80 命令 。 


如 果 telnet 工具 成 功 地 创建 了 TCP 连接 ， 命 令 提 示 窗 口 将 会 清空 ， 然 后 根据 协议 显示 一 些 文本 。 此 窗 
口 允许 你 针对 已 连接 的 服务 输入 命令 。 输 入 Control-C， 退 出 telnet 工具 。 如 果 telnet 工具 无 法 成 功 创建 
TCP 连接 , 将 显示 消息 “正在 连接 到 IPv4Address... 不 能 打开 到 主机 的 连接 , 端口 为 TCPPort: 连接 失败 ”。 

如 果 使 用 I 下 浏览 器 不 能 打开 www.inhe.net 网 站 ， 而 不 能 确定 是 正 浏览 器 配置 出 现 了 问题 还 是 中 了 
恶意 插件 造成 的 。 则 需要 使 用 telnet www.inhe.net 80 来 检查 是 否 能 够 使 用 TCP 80 端口 与 www.inhe.net 
网 站 建立 会 话 。 如 果 使 用 telnet 能 够 建立 会 话 ， 则 说 明 是 正 浏览 器 配置 引起 的 问题 ， 如 果 提 示 打 开 80 端 
口 失败 ， 那 就 是 网 络 问题 引起 的 ， 应 该 检查 防火 墙 是 否 过 滤 掉 了 TCP 80 数据 包 。 

在 Windows Server 2008 中 需要 添加 Windows Server 功能 中 的 telnet 客户 端 , 才能 使 用 telnet 命令 。 
如 图 3-104 所 示 。 


图 3-104 ”测试 能 否 访问 银河 网 站 的 80 端口 


如 果 telnet 工具 成 功 地 创建 了 TCP 连接 ,命令 提示 窗口 将 会 清空 ， 否 则 将 会 提示 在 80 端口 连接 失败 。 
如 图 3-105 所 示 ，telnet www.inhe.net 21 端口 失败 ， 说 明 www.inhe.net 服务 器 没有 使 用 TCP 21 端口 侦 
听 的 服务 。 


图 3-105 ”测试 能 否 访问 银河 网 站 的 21 端口 


3.10.5 任务 5: 使 用 netstat 检测 网 络 状态 


1. netstat 

netstat 用 于 显示 与 P、TCP、UDP 和 ICMP 协议 相关 的 统计 数据 ， 一 般 用 于 显示 网 络 连接 、 路 由 表 
和 网 络 接口 信息 ， 可 以 让 用 户 得 知 目前 都 有 哪些 网 络 连接 正在 运行 。 在 命令 行 下 输入 netstat /?， 能 够 看 到 
可 用 的 参数 。 
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C:\Users\hanligang>netstat /? 
显示 协议 统计 和 当前 TCP/IP 网 络 连 接 。 
NETSTAT [-a] [-b] [-e] [-f] [-n] [-o] [-p proto] [-r] [-s] [-t] [interval] 


其 中 的 选项 说 明 如 下 。 

-a: 显示 所 有 连接 和 侦 听 端口 。 

-b: 显示 在 创建 每 个 连接 或 侦 听 端口 时 涉及 的 可 执行 程序 。 在 某 些 情况 下 ， 已 知 可 执行 程序 承载 多 个 
独立 的 组 件 ， 这 些 情况 下 ， 显 示 创 建 连接 或 侦 听 端口 时 涉及 的 组 件 序列 。 此 情况 下 ， 可 执行 程序 的 名 称 位 
于 底部 ] 中 ， 它 调用 的 组 件 位 于 顶部 ， 直 至 达到 TCP/IP。 注 意 ， 此 选项 可 能 很 耗 时 ， 并 且 在 你 没有 足够 权 
限时 可 能 失败 。 

-e: 显示 以 太 网 统计 。 此 选项 可 以 与 -s 选项 结合 使 用 。 

f: 显示 外 部 地 址 的 完全 限定 域名 (FQDN)。 

-n: 以 数字 形式 显示 地 址 和 端口 号 。 

-0: 显示 拥有 的 与 每 个 连接 关联 的 进程 ID。 

-P proto: 显示 proto 指定 的 协议 的 连接 。proto 可 以 是 下 列 任何 一 个 : TCP、UDP、TCPv6 或 
UDPv6。 如 果 与 -s 选项 一 起 用 来 显示 每 个 协议 的 统计 ，proto 可 以 是 下 列 任何 一 个 : 全、IPv6、ICMP、 
ICMPv6、TCP、TCPv6、UDP 或 UDPv6。 

-r: 显示 路 由 表 。 

-s: 显示 每 个 协议 的 统计 。 默 认 情 况 下 , 显示 IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP 和 UDPv6 
的 统计 ;， -P 选项 可 用 于 指定 默认 的 子 网 。 

-t: 显示 当前 连接 印 载 状 态 。 

interval: 重新 显示 选 定 的 统计 ， 各 个 显示 间 暂 停 的 间隔 秒 数 。 按 Ctrl+C 组 合 键 停止 重新 显示 统计 。 
如 果 省 略 ， 则 netstat 将 打印 当前 的 配置 信息 一 次 。 

2. 使 用 netstat 查看 本 地 计算 机 侦 听 的 端口 

某 家 公司 的 网 站 不 能 访问 了 ， 操 作 系统 是 Windows 2003。 打 开发 现 该 Web 站 点 停止 ， 启 动 服务 出 现 
如 图 3-106 所 示 的 错误 。 

这 台 服 务 器 上 就 一 个 Web 站 点 , 则 肯定 是 其 他 程序 占用 了 该 Web 站 点 使 用 的 80 端口 ,如 何 确认 哪个 
程序 占用 该 端口 了 呢 ? 

@ 在 命令 提示 符 下 输入 netstat -aonb >>c:\p.txt, 这 样 就 把 输出 结果 保存 在 c:\p.txt 记事 本 文件 中 了 。 

@ 打开 C 盘 根 目录 下 p.txt。 

@ ”netstat -aonb 这 个 命令 能 够 查看 侦 听 的 端口 以 及 侦 听 端口 的 进程 号 和 应 用 程序 名 称 。 如 图 3-107 
@ 


所 示 ， 发 现 是 Web 迅雷 占用 了 80 端口 ， 造 成 服务 器 Web 服务 启动 失败 。 

使 用 netstat 找到 了 占用 80 端口 的 进程 ， 原 来 是 在 该 服务 器 上 安装 了 Web 迅雷 而 占用 了 TCP 的 
80 端口 ， 这 与 Web 站 点 使 用 的 端口 冲突 ， 所 以 Web 站 点 启动 失败 。 这 个 实例 告诉 我 们 ， 计 算 机 
上 的 网 络 服务 必须 使 用 独立 的 端口 标识 ， 如 果 冲 突 ， 后 启动 的 服务 将 无 法 启动 。 
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图 3-106 Web 服务 启动 失败 3-107 ”查看 使 用 80 端口 的 程序 


3. 显示 建立 的 会 话 查找 木马 
某 单位 的 服务 器 最 近 出 现 异常 ， 网 管 感觉 有 人 在 操作 他 的 服务 器 ， 怀 疑 服务 器 中 了 木马 。 他 想 查 一 下 
服务 器 ， 如 何 确认 服务 器 是 否 有 木马 ? 
若 计算 机 中 了 森马， 木马 程序 会 自动 运行 ， 或 者 作为 计算 机 上 的 一 个 服务 或 开机 就 自动 运行 的 程序 。 
然后 就 在 后 台 偷 偷 地 与 远程 的 客户 端 连接 。 攻 击 者 就 可 以 使 用 客户 端 远程 控制 你 的 计算 机 。 
如 何 确认 是 否 中 了 木马 程序 ? 木马 程序 会 自动 与 外 网 的 客户 端 建立 连接 , 可 以 查看 计算 机 的 对 外 连接 ， 
查找 木马 。 
@ 登录 计算 机 ， 但 不 访问 其 他 计算 机 ， 并 且 保 证 Windows 没有 在 后 台 更 新 系统 或 杀毒 软件 没有 更 
新 病毒 库 ， 因 为 这 些 活动 也 会 建立 会 话 ， 干 扰 查 找 木 马 。 
@@ 运行 netstat -nb， 查 看 有 没有 到 Internet 上 连接 。 如 图 3-108 所 示 ， 只 有 msnmsgr.exe 对 外 建立 
的 会 话 , 不 过 它 不 是 木马 。 如果 你 觉得 该 进程 可 疑 , 可 以 访问 www.baidu.com, 输入 msnmsgr 搜 
索 ， 查 看 其 是 否 为 木马 程序 。 


图 3-108 ”查看 侦 听 端口 程序 


3.11 配置 Windows Server Core 环境 


以 管理 员 身 份 登录 Windows Server Core， 将 看 到 “命令 提示 符 ” 窗 口 。 
Server Core 没有 图 形 界面 ， 登 录 以 后 仅 有 一 个 “命令 提示 符 ” 窗 口 。 

在 “命令 提示 符 ” 窗 口中 ， 输 入 命令 prompt [$t]$s$p$g， 然 后 按 Enter 键 。 
此 命令 使 得 可 以 在 命令 提示 符 中 显示 时 间 。 

输入 cd c:\windows\system32， 然 后 按 Enter 键 。 

输入 cscript SCregEdit.wsf /cli， 然 后 按 Enter 键 。 


FiiL 


@ Windows Server 2008 “3 


SCregEdit.wsf 是 Server Core 特有 的 脚本 , 其 中 的 cli 开关 非常 有 用 , 它 可 以 把 所 有 常见 的 配置 Server 


Core 的 命令 全 部 列 出 ， 而 不 需要 管理 员 自己 摸索 。 
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输出 结果 。 


Microsoft (R) Windows Script Host Version 5.7 
版 权 所 有 (Cc) Microsoft Corporation 1996-2001。 保 留 所 有 权利 。 


激活 


Cscript slmgr.vbs -ato 


使 用 KMS 批量 授权 进行 激活 
配置 KMS 批量 授权 : 


cscript slmgr.vbs -ipk [volume license key] 
激活 KMS 授权 : 

cscript slmgr.vbs -ato 

设置 KMS DNS SRV 记录 : 

cscript slmgr.vbs -skma [KMS FQDN] 

确定 计算 机 名 称 


ipconfig /all 
Systeminfo.exe 或 Hostname .exe 


重 命名 服务 器 核心 计算 机 
已 加 入 的 域 : 


Netdom renamecomputer $computernames /NewName :new-name /UserD:domain-username /PasswordD:* 


未 加 入 的 域 : 


Netdom renamecomputer %computername%® /NewName:new-name 
更 改 工作 组 : 


Wmic computersystem where name="scomputernames" call joindomainorworkgroup name=" [new 
workgroup name]" 


安装 角色 或 可 选 功能 


Start /w Ocsetup [packagename] 
(@ 汪 : 对 active Directory， 应 运行 具有 应 短文 件 的 Depromo. 


查看 角色 和 可 选 功 能 包 名 称 以 及 当前 安装 状态 


oclist 


启动 任务 管理 器 热 键 
ctrl-shift-esc 
注销 终端 服务 会 话 
Logoff 


设置 页 面 文件 大 小 
禁用 系统 页 面 文件 管理 : 


wmic computersystem where name="scomputernames" set AutomaticManagedPagefile=False 
配置 页 面 文件 : 

wmic pagefileset where name="C:\\pagefile.sys" set Initialsize=500,MaximumSize=1000 
配置 时 区 、 日 期 或 时 间 


control timedate.cpl 


配置 区 域 和 语言 选项 


control intl.cpl 


手动 安装 管理 工具 或 代理 


Msiexec.exe /i [msipackage] 


列 出 已 安装 的 MSI 应 用 程序 


Wmic product 


外 载 MSI 应 用 程序 


Wmic product get 名 称 /value 

显示 安装 的 MSI 应 用 程序 : 

product 

Wmic 是 一 个 很 有 用 的 操纵 和 管理 WMI 对 象 的 命令 ， 借 助 此 命令 通过 WMI 可 以 对 Server Core 进行 
绝 大 多 数 的 管理 操作 (硬件 管理 、 软 件 管理 、 网 络 管理 等 )。 如 要 外 载 安装 的 某 一 个 MSI 应 用 程序 ， 则 可 以 
调用 Product 这 个 WMI 对 象 的 Uninstall 方法 ， 使 用 命令 : 


WMIC product where name="<name>" call uninstall 


列 出 安装 的 驱动 程序 


Sc query type= driver 


面市 民间 


@ Windows Server 2008 “7 


安装 未 包括 的 驱动 程序 

将 驱动 程序 文件 复制 到 服务 器 核心 : 
Pnputil -i -a [path]\[driver] .inf 
重 命 名 网 络 适配器 


netsh interface set interface name="Local Area Connection" newname="PrivateNetwork" 


禁用 网 络 适配器 


netsh interface set interface name="Local Area Connection 2" admin=DISABLED 


确定 文件 的 版 本 


wmic datafile where name="c:\\windows\\system32\\ntdll.dll" get version 


已 安装 的 修补 程序 列表 


wmic qfe list 


安装 修补 程序 


Wusa.exe [patchame] .msu /quiet 


配置 代理 


Netsh winhttp set proxy [proxy name]: [port] 


添加 、 删 除 、 查 询 注册 表 值 


reg.exe add /? 
reg.exe delete /? 
reg.exe query /? 


其 他 开关 
另外 该 脚本 还 有 其 他 开关 ， 用 于 进行 一 些 特殊 的 配置 。 例 如 开启 远程 桌面 、 自 动 更 新 等 。 


systeminfo 


此 命令 将 显示 计算 机 的 详细 信息 。 


3.11.1 任务 1: 更 改 Server Core 计算 机 名 称 
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Q@ 以 管理 员 身 份 登录 Windows Server 核心 服务 器 。 

@@ ”如 图 3-109 所 示 ， 运 行 HOSTNAME， 显 示 当 前 计算 机 名 称 。 

@ 运行 netdom renamecomputer WIN-M95F5DFAZC0/mnewname:FileServer ， 其 
WIN-M95F5DFAZC0 是 现在 的 计算 机 名 称 ，FileServer 是 新 的 计算 机 名 称 。 

由 运行 shutdown/r/t0， 重 启 系统 。 


EC Wndows\systemsz\omdexe 


3-109 ”查看 和 更 改 计算 机 名 


3.11.2 任务 2: 配置 Windows 防火 墙 


启用 Windows 防火 墙 ， 如 图 3-110 所 示 。 

Q@ 在 命令 行 输入 netsh firewall set opmode enable， 启 用 Windows 防火 墙 。 
@) 默认 情况 下 Windows 防火 墙 已 开启 。 

@ 在 命令 行 输入 netsh firewall set opmode disable， 关 闭 防火 墙 。 

@ 在 命令 行 输入 netsh firewall show state， 查 看 防火 墙 状态 。 


图 3-110 ”启用 防火 墙 和 禁用 防火 墙 


回 在 命令 行 输入 netsh firewall add portopening UDP 53 DNS-Server， 使 该 服务 器 计算 机 能 响应 客 
户 端的 DNS 查询 请 求 。 


SG 提示 : 后 续 实战 中 将 配置 该 服务 器 作为 DNS 服务 器 。 


@ 在 命令 行 输入 下 列 命令 ,使 得 其 他 计算 机 可 以 访问 该 计算 机 的 “文件 和 打印 服务 ”( 该 服务 器 为 文 
件 服务 器 )。 
netsh firewall add portopening UDP 137 Netbios-ns 
netsh firewall add portopening UDP 138 Netbios-dgm 


netsh firewall add portopening TCP 139 Netbios-ssn 
netsh firewall add portopening TCP 445 Netbios-ds 
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@ Windows Server 2008 系统 于 理 之 首 


@ 在 命令 行 输入 netsh firewall show config， 查 看 防火 墙 配置 。 
从 结果 中 可 以 看 到 “文件 和 打印 共享 ”已 经 启用 。 
3.11.3 任务 3: 为 Server Core 启用 远程 桌面 


启用 远程 桌面 。 
Q@ 在 命令 行 输入 cscript SCregEdit.wsf /Ar 0。 


GB 提示 : 确定 当前 所 在 目录 为 C:\Windows\System32。 


@ 在 命令 行 输入 netsh firewall add portoepning TCP 3389 Remote-Desktop, 打开 远程 桌面 使 用 的 
端口 。 


3.11.4 任务 4: 为 Windows Server Core 安装 DNS 角色 
@ 在 命令 行 输入 oclist， 查 看 角色 和 功能 的 安装 信息 。 


SG 提示 : 可 以 发 现在 默认 情况 下 未 安装 任何 角色 和 功能 ， 所 以 称 Server Core 为 最 小 化 安装 。 


© 注意 记 下 打算 安装 的 角色 或 者 功能 的 名 字 ， 安 装 角色 或 功能 时 对 大 小 写 是 敏感 的 ， 切 记 ! 切记 ! 


@@ ”如 图 3-111 所 示 ， 输 入 Start/w ocsetup DNS-Server-Core-Role， 安 装 DNS 服务 器 角色 。 
@ oclist | find“ 已 安装 ”。 


CC\Windows\systemI2\cmdexe 
y ta 


图 3-111 安装 DNS 角色 和 查看 安装 好 的 角色 


此 命令 用 于 显示 DNS 服务 器 是 否 安装 成 功 。 
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本 章 内 容 围绕 如 何在 服务 器 上 创建 和 管理 本 地 用 是 合 关键 词 
Ps 本 地 用 户 账户 
可 以 使 用 Windows Server 图 形 界 面 的 管理 工具 创建 和 管理 用 户 
管理 Windows Server Core 上 的 用 户 和 组 ， 管 理 访问 利用 组 来 简化 授权 
其 他 服务 器 的 凭据 ， 管 理 存储 的 账户 ， 使 用 用 户 账 户 管理 存储 的 账号 
控制 保护 系统 安全 。 管理 Windows core 上 的 用 户 和 组 
使 用 图 形 界 面 远程 管理 核心 服务 器 
普通 用 户 以 管理 员 的 身份 打开 管 
理工 具 


@ Windows Server 2008 于 民 王 下 二 


4.1 管理 本 地 用 户 账户 


Windows Server 2008 操作 系统 要 求 所 有 用 户 都 要 进行 登录 才能 访问 本 地 网 络 资源 。Windows 通过 
实施 交互 式 登录 过 程 (提供 用 户 身份 验证 ) 来 保护 资源 。 

用 户 账户 是 对 计算 机 用 户 身份 的 标识 ， 本 地 用 户 账户 的 账户 、 口 令 存在 本 地 计算 机 中 ， 只 对 本 机 有 效 ， 
存储 在 本 地 安全 账户 数据 库 SAM 中 。 

通过 本 地 用 户 和 组 ， 可 以 为 用 户 和 组 分 配 权利 和 权限 ， 从 而 限制 用 户 和 组 执行 某 些 操作 的 能 力 。 权 利 
可 授权 用 户 在 计算 机 上 执行 某 些 操 作 ， 如 备份 文件 和 文件 夹 或 者 关机 。 权 限 是 与 对 象 (通常 是 文件 、 文件 夹 
或 打印 机 ) 相 关联 的 一 种 规则 ， 它 规定 哪些 用 户 可 以 访问 该 对 象 以 及 以 何 种 方式 访问 。 

账户 有 以 下 三 种 不 同类 型 。 

标准 。 

”管理 员 。 

a 来宾。 

每 种 账户 类 型 为 用 户 提供 不 同 的 计算 机 控制 级 别 。 标 准 账户 是 日 常 计算 机 使 用 中 所 使 用 的 账户 。 管 理 
员 账户 对 计算 机 拥有 最 高 的 控制 权限 ， 关 且 应 该 仅 在 必要 时 才 使 用 此 账户 。 来 宾 账 户主 要 供需 要 临时 访问 
计算 机 的 用 户 使 用 。 

1. 标准 用 户 账户 

标准 用 户 账户 允许 用 户 使 用 计算 机 的 大 多 数 功能 ， 但 是 如 果 要 进行 的 更 改 会 影响 计算 机 的 其 他 用 户 或 
安全 ， 则 需要 管理 员 的 许可 。 

使 用 标准 账户 时 ， 可 以 使 用 计算 机 上 安装 的 大 多 数 程序 ， 但 是 无 法 安装 或 印 载 软件 和 硬件 ， 也 无 法 删 
除 计算 机 运行 所 必需 的 文件 或 者 更 改 计算 机 上 会 影响 其 他 用 户 的 设置 。 如 果 使 用 的 是 标准 账户 ， 则 某 些 程 
序 可 能 要 求 用 户 提供 管理 员 密码 后 才能 执行 某 些 任务 。 

2. 管理 员 账户 

管理 员 账户 就 是 允许 你 进行 将 影响 其 他 用 户 的 更 改 的 用 户 账户 。 管 理 员 可 以 更 改 安全 设置 ， 安 装 软件 
和 硬件 ， 访 问 计算 机 上 的 所 有 文件 。 管 理 员 还 可 以 对 其 他 用 户 账户 进行 更 改 。 

设置 Windows 时 ， 将 要 求 创建 用 户 账户 。 此 账户 就 是 允许 用 户 设置 计算 机 以 及 安装 用 户 想 使 用 的 所 
有 程序 的 管理 员 账户 。 完 成 计算 机 设置 后 ， 会 建议 用 户 使 用 标准 用 户 账户 进行 日 常 的 计算 机 使 用 。 使 用 标 
准 用 户 账户 比 使 用 管理 员 账 户 更 安全 。 


3. 来 宾 账户 


来 宾 账户 是 供 在 计算 机 或 域 中 没有 永久 账户 的 用 户 使 用 的 账户 。 它 允许 人 们 使 用 计算 机 ， 但 没有 访问 
个 人 文件 的 权限 。 使 用 来 宾 账户 的 人 无 法 安装 软件 或 硬件 ， 更 改 设置 或 者 创建 密码 。 必 须 打 开 来 宾 账户 后 
才 可 以 使 用 它 。 
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4.1.1 内 置 的 用 户 账 户 


本 地 用 户 和 组 Microsoft 管理 控制 台 (MMC) 管理 单元 中 的 用 户 文件 夹 显示 默认 的 用 户 账户 以 及 创 
建 的 用 户 账户 。 这 些 默认 的 用 户 账户 是 在 安装 操作 系统 时 自动 创建 的 。 下 表 描 述 了 显示 在 本 地 用 户 和 组 中 
的 每 个 默认 用 户 账户 。 

打开 “服务 器 管理 器 ”窗口 ， 单 击 “ 配 置 ”一 “本 地 用 户 和 组 ”一 “用 户 ” 选 项 ， 如 图 4-1 所 示 ， 可 
以 看 到 默认 的 用 户 账户 。 


文件 归 ” 接 作 风 ”查看 WW 帮助 o 
[ 工 下 TEST 


用 户 
rr 管理 生机 了 虽 交 守卫 
攻 uest 供 未 志 访 jajit 基 机 本 访 5 


图 4-1 内 置 的 用 户 账户 


默认 情况 下 ，Administrator 账户 处 于 禁用 状态 , 但 可 以 启用 它 。 当 它 处 于 启用 状态 时 , Administrator 
账户 具有 对 计算 机 的 完全 控制 权限 ， 并 可 以 根据 需要 向 用 户 分 配 用 户 权利 和 访问 控制 权限 。 该 账户 必须 仅 
用 于 需要 管理 凭据 的 任务 。 强 烈 建议 将 此 账户 设置 为 使 用 强 密 码 。Administrator 账户 是 计算 机 上 
Administrators 组 的 成 员 。 永 远 不 可 以 从 Administrators 组 删除 Administrator 账户 ， 但 可 以 重 命名 或 禁 
用 该 账户 。 由 于 大 家 都 知道 Administrator 账户 存在 于 许多 版 本 的 Windows 上 , 所 以 重 命 名 或 禁用 此 账户 
将 使 恶意 用 户 尝试 并 访问 该 账户 变 得 更 为 困难 。 


© 注意 即使 已 禁用 了 Administrator 账户 ， 仍 然 可 以 在 安全 模式 下 使 用 该 账户 访问 计算 机 。 


Guest 账户 供 在 这 台 计 算 机 上 没有 实际 账户 的 人 使 用 。 如 果 某 个 用 户 的 账户 已 被 禁用 ， 但 还 未 删除 ， 
那 该 用 户 也 可 以 使 用 Guest 账户 。Guest 账户 不 需要 密码 。 默 认 情况 下 ，Guest 账户 是 禁用 的 ， 但 可 以 
启用 它 。 可 以 像 任何 用 户 账户 一 样 设置 Guest 账户 的 权利 和 权限 。 默 认 情 况 下 ，Guest 账户 是 默认 的 
Guest 组 的 成 员 ， 该 组 允许 用 户 登 录 计 算 机 。 其 他 权利 及 任何 权限 都 必须 由 Administrators 组 的 成 员 授 
予 Guests 组 。 默 认 情况 下 将 禁用 Guest 账户 ， 并 且 建 议 将 其 保持 禁用 状态 。 


4.1.2 创建 本 地 用 户 


如 图 4-2 所 示 ， 右 击 “ 用 户 ” 选 项 ， 在 弹出 的 快捷 菜单 中 选择 “新 用 户 ” 命 令 ， 在 打开 的 对 话 框 中 输 
入 用 户 名 、 全 名 、 描 述 和 密码 。 单 击 “ 创 建 ”按钮 。 
若 密码 不 符合 密码 策略 要 求 将 出 现 如 图 4-3 所 示 的 提示 对 话 框 。 
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| 提示: Windows Server 2008 的 安全 策略 默认 要 求 用 户 的 密码 必须 符合 复杂 性 要 求 ， 因 此 输入 的 密码 如 果 
“全 是 字符 或 全 是 数字 会 出 现 提示 对 话 框 。 必须 输入 类 似 于 “all” 或 “p@ssw0rd” 这 样 的 密码 才能 满足 默 
认 的 安全 密码 。 
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图 4-2 创建 新 用 户 图 4-3 密码 不 符合 策略 要 求 


注意 事项 
和 若 要 执行 此 过 程 ， 必 须 提 供 本 地 计算 机 上 Administrator 账户 的 凭据 (如 果 提示 )， 或 必须 是 本 地 
计算 机 上 Administrators 组 的 成 员 。 
里 “用 户 名 不 能 与 被 管理 的 计算 机 上 任何 其 他 用 户 名 或 组 名 相同 。 用 户 名 最 多 可 以 包含 除 下 列 字符 外 
的 20 个 大 写字 符 或 小 写字 符 。 
@ hs Mis es hh a 
。 用户 名 不 能 只 由 句点 (.) 和 空格 组 成 。 
”在 “密码 ”和 “确认 密码 ”文本 框 中 ， 可 以 输入 包含 不 超过 127 个 字符 的 密码 。 但 是 ， 如 果 网 络 
中 包含 运行 Windows 95 或 Windows 98 的 计算 机 ， 应 考虑 使 用 不 超过 14 个 字符 的 密码 。 如 
果 密 码 超过 14 个 字符 ， 则 可 能 无 法 从 运行 Windows 95 或 Windows 98 的 计算 机 登录 到 网 络 。 
使 用 强 密码 和 合适 的 密码 策略 有 利于 保护 计算 机 免 受 攻击 。 


4.1.3 ” 重 设 用 户 密码 


Q@ 如 图 4-4 所 示 ， 右 击 用 户 账户 ， 在 弹出 的 快捷 菜单 中 

选择 “设置 密码 ”命令 。 

@ ”出 现 如 图 4-5 所 示 的 提示 对 话 框 ,建议 不 要 重 设 密码 ， 

最 好 更 改 。 
@ 单 击 “ 继 续 ” 按 钮 ， 如 图 4-6 所 示 ， 输 入 新 密码 ， 单 
击 “ 确 定 ” 按 钮 。 

车 要 执行 此 过 程 ， 必 须 提供 本 地 计算 机 上 Administrator 
账户 的 凭据 (如 果 提 示 )， 或 必须 是 本 地 计算 机 上 
Administrators 组 的 成 员 。 

密码 提供 了 防止 对 计算 机 进行 未 授权 的 访问 的 第 一 道 防 


4-4 重 设 用 户 密码 
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线 。 密 码 越 强 ， 就 越 能 保护 计算 机 免 受 黑客 和 恶意 软件 的 侵害 。 应 确保 计算 机 上 所 有 账户 使 用 的 都 是 强 密 
码 。 如 果 使 用 的 是 企业 网 络 ， 网 络 管理 员 可 能 需要 你 使 用 强 密码 。 


EEEEE3 四 本 
WE 00 
和 六 让 有 za 
I 一 pe 
se Noe nr 人 Re 
a 如果 人 而 "了"”， 生 到 格 不 被 沁 ， 并 且 相 不 会 天 夫 雪 所。 
| ww | Ce] ww | 
4-5 ”建议 不 要 重 设 密码 而 要 更 改 密码 4-6 ”输入 新 密码 


强 密码 (或 弱 密码 ) 的 构成 如 下 。 
里 “长度 至 少 为 8 个 字符 。 
时。 不 包含 用 户 名 、 真 实 姓名 或 公司 名 称 。 
于 “不 包含 完整 的 单词 。 
于 ”与 先前 的 密码 截然 不 同 。 
包含 下 列 4 类 字符 的 每 一 种 。 
大 写字 母 。 
小 写字 母 。 
数字 。 
键盘 上 的 符号 (键盘 上 所 有 未 定义 为 字母 和 数字 的 字符 ) 和 空格 。 
强 密码 可 以 提高 计算 机 和 网 络 的 安全 性 。 为 了 保护 信息 的 安全 ， 一 旦 在 本 地 用 户 账户 上 重 设 了 用 户 密 
码 ， 部 分 类 型 的 信息 将 不 能 再 使 用 ， 这 些 信息 包括 : 
和 ”使 用 用 户 公 钥 加 密 的 电子 邮件 。 
”计算 机 中 保存 的 Internet 密码 。 
里 “用户 已 加 密 的 文件 。 
若 要 避免 丢失 这 种 类 型 的 数据 ， 则 不 要 重 设 用 户 的 密码 。 当 创建 新 的 本 地 用 户 账户 时 ， 用 户 应 创建 一 
张 密码 重 设 稻 。 以 后 如 果 用 户 忘 记 了 密码 ， 可 以 使 用 密码 重 设 盘 来 重 设 密码 ， 防 止 数据 损失 。 但 是 如 果 用 
忘记 了 域 用 户 账户 的 密码 ， 则 必须 手工 重 设 该 密码 。 


4.1.4 ”创建 密码 重 设 盘 


创建 密码 重 设 玲 ， 不 论 密 码 更 改过 多 少 次 ， 如 果 忘 记 了 计算 机 密码 ， 则 可 以 使 用 密码 重 设 枫 创 建 一 个 
新 密码 。 建 议 在 创建 密码 时 创建 密码 重 设 盘 ， 以 便 不 会 失去 对 文件 和 信息 的 访问 权限 。 
@ 将 口 盘 插入 计算 机 ， 下 面 的 步骤 将 U 盘 设置 成 密码 重 设 盘 。 
@ 选择 “开始 ”一 “控制 面板 ”命令 ， 如 果 是 传统 的 “开始 ”菜单 ， 则 选择 “开始 ”一 “设置 ”一 
“控制 面板 ”命令 ， 在 打开 的 “控制 面板 ”窗口 中 单 击 左 面 的 “经 典 视图 ”选项 ， 单 击 “ 用 户 帐 
户 ” 图 标 ， 如 图 4-7 所 示 。 
@ 如 图 4-8 所 示 ， 单 击 “ 创 建 密码 重 设 枪 ”选项 。 
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图 4-7 单 击 “用 户 帐户 ”图 标 图 4-8 创建 密码 重 设 盘 


@ 如 图 4-9 所 示 ， 在 出 现 的 向 导 对 话 框 中 ， 单 击 “ 下 一 步 ” 按 钮 。 
@ ”如 图 4-10 所 示 ， 选 择 刚 才 插 入 的 口 盘 ， 单 击 “ 下 一 步 ” 按 钮 。 


| 

次 迎 使 用 忘记 密码 向 导 同 导 档 妆 此 用 户 帐户 8 入 码 信 息 人 本 到 下 面 的 驱动 器 中 6 疙 各 上 - 

人 

灯 无 沦 如 更 职 窗 碘 乡 少 次 ， 您 只 需要 6 由 此 显 一 

我 更 在 下 而 RE 动 状 中 量 | 建 一 个 亚 码 梧 钥 盘 0) 

一 BUS J 
4 任 辣 人 亏本 以 月 比 盘 重 叶 密码 ， 并 白 此 访问 此 
要 娘 坊 ， 清 单机 “下 一 步 "， 
| | 

图 4-9 欢迎 界面 图 4-10 选择 U 盘 


@ 如 图 4-11 所 示 ， 在 出 现 的 “当前 用 户 帐 户 密码 ”界面 中 ， 输 入 当前 用 户 密码 ， 单 击 “ 下 一 步 ” 按 
钮 ， 完 成 。 此 时 在 口 盘 上 创建 了 一 个 userkey.psw 文件 。 
[EI 一 
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图 4-11 输入 当前 用 户 的 密码 
4.1.5 ”使 用 密码 重 设 盘 重 设 密码 
如 果 是 忘记 密码 ， 需 要 使 用 密码 重 设 盘 重 新 设置 新 密码 。 
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Q 输入 错误 登录 密码 后 ， 会 出 现 了 


人 司 


Administrator 


图 4-12 输入 错误 密码 登录 
@ 单 


:| 


“于 


外 设 密码 提示 框 ， 如 图 4-12~ 图 4-14 所 示 。 


图 4-13 ”提示 密码 不 正确 图 4-14 出 现 重 设 密码 


设 密码 ”按钮 ， 在 出 现 的 对 话 框 中 ， 单 击 “ 下 一 步 ” 按 钮 ， 如 图 4-15 所 示 。 


图 如 图 4-16 所 示 ， 选 中 口 盘 ， 单 击 “ 下 一 步 ” 按 钮 。 


欢迎 使用 密码 重 置 向 导 
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图 4-15 ”密码 重 设 向 导 


@ 如 图 4-17 所 示 ， 输 入 新 密码 和 密 
按钮 ， 完 成 密码 重 设 。 
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如 图 4-18 所 示 ， 单 击 


重 雪 用户 作 户 窗 而 
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图 4-16 选择 U 盘 
密码 提示 


到 
正在 完成 密码 重 置 向 导 
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图 4-17 输入 新 密码 


4.1.6 ”管理 存储 的 账号 


PE TI 


图 4-18 完成 密码 重 设 


如 果 你 经 常 访问 某 个 服务 器 的 共享 文件 夹 ， 每 次 都 需要 输入 访问 服务 器 的 账户 和 密码 ， 则 可 以 将 访问 


该 服务 器 的 凭据 保存 起 来 。 下 面 是 访问 文件 服务 器 10.7.1.4 上 的 共享 文件 夹 ， 如 图 4-19 所 示 ， 需 要 输入 该 
文件 服务 器 上 的 账户 和 密码 ， 如 图 4-20 所 示 。 
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图 4-19 访问 服务 器 上 的 共享 资源 图 4-20 输入 服务 上 的 账户 和 密码 


下 面 的 操作 会 保存 访问 该 服务 器 的 网 络 和 凭据 。 

Q@ 选择 “开始 ”一 “控制 面板 ”命令 ， 如 果 是 传统 的 “开始 ” 菜单， 选择“ 开始 ”一 “设置 ”一 “ 控 
制 面板 ”命令 ， 在 打开 的 “控制 面板 ”窗口 中 单 击 左面 的 “经 典 视图 ”选项 ， 单 击 “ 用 户 帐户 ” 
图 标 打 开 如 图 4-21 所 示 的 对 话 框 。 


图 4-21 管理 网 络 密码 


@ 如 图 4-22 所 示 ， 在 出 现 的 “存储 的 用 户 名 和 密码 ”对 话 框 中 ， 单 击 “ 添 加 ”按钮 。 
@ 如 图 4-23 所 示 ， 输 入 服务 器 的 地 址 、 访 问 该 服务 器 用 到 的 用 户 名 和 密码 ， 单 击 “ 确 定 ” 按 钮 。 


图 4-22 ”存储 的 用 户 名 和 密码 图 4-23 ”添加 访问 服务 器 的 用 户 名 和 密码 


@ 再 次 访问 该 服务 时 发 现 不 再 需要 输入 账户 和 密码 。 


如 果 想 用 计算 机 名 访问 10.7.1.4 上 的 共享 资源 ， 如 图 4-24 所 示 ， 则 需要 再 添加 一 个 登录 到 服务 器 名 的 
网 络 凭据， 如 图 4-25 所 示 。 


图 4-24 使 用 计算 机 名 访问 图 4-25 添加 使 用 计算 机 名 访问 的 凭据 
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4.1.7 ”禁用 或 激活 本 地 用 户 


打开 “服务 器 管理 器 ”窗口 。 
如 图 4-26 所 示 ， 在 控制 台 树 中 ， 单 击 “ 用 户 ”选项 ， 右 击 要 更 改 的 用 户 账户 ， 在 弹出 的 快捷 菜单 
中 选择 “属性 ”命令 。 


@ 


执行 以 下 任 一 操作 。 

于 若 要 禁用 所 选 的 用 户 账户 ， 应 选中 “帐户 已 禁用 ” 复 选 框 。 

时。 若 要 激活 所 选 的 用 户 账户 ， 应 取消 选中 “帐户 已 禁用 ” 复 选 框 。 
注意 事项 


里。 若 要 执行 此 过 程 ， 必 须 提 供 本 地 计算 机 上 Administrator 账户 的 凭据 (如 果 提 示 )， 或 必须 是 本 地 
计算 机 上 Administrators 组 的 成 员 。 
里 禁用 某 个 用 户 账 户 时 ， 将 不 允许 该 用 户 登录 。 该 账户 将 出 现在 详细 信息 窗 格 中 ， 图 标 上 显示 一 个 
号 。 
”在 激活 已 禁用 的 账户 之 前 ， 应 确保 该 账户 不 是 因 安全 原因 而 被 锁定 的 。 
”用 户 账户 被 激活 后 ， 该 用 户 就 可 以 正常 登录 。 


4.1.8 ”删除 本 地 用 户 账户 


@ 打开 “服务 器 管理 器 ”窗口 。 
@ 在 控制 台 树 中 ， 单 击 “ 用 户 ” 选 项 。 
图 右 击 要 删除 的 用 户 账户 ， 在 弹出 的 快捷 菜单 中 选择 “删除 ”命令 。 


和 若 要 执行 此 过 程 ， 必 须 提 供 本 地 计算 机 上 Administrator 账户 的 凭据 (如 果 提 示 )， 或 必须 是 本 地 
计算 机 上 Administrators 组 的 成 员 。 

于 当 需 要 删除 一 个 用 户 账户 时 ， 建 议 首先 禁 用 该 账户 。 确 信 禁 用 账户 不 会 引起 问题 时 ， 便 可 放心 地 
删除 该 账户 。 

时。 不 能 恢复 已 删除 的 用 户 账户 。 
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不 能 删除 Administrator 账户 和 Guest 账户 。 


4.1.9 重 命名 本 地 用 户 账户 
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Q@ 打开 “服务 器 管理 器 ”窗口 。 

@ 在 控制 台 树 中 ， 单 击 “ 用 户 ” 选 项 。 如 图 4-27 所 示 ， 右 击 要 重 命名 的 用 户 账户 ， 在 弹出 的 快捷 菜 
单 中 选择 “ 重 命 名 ”命令 。 

让 jl | 让 
图 4-27 重 命名 用 户 权限 不 变 

@ 输入 新 的 用 户 名 ， 然 后 按 Enter 键 。 

注意 事项 

里 若 要 执行 此 过 程 ， 必 须 提 供 本 地 计算 机 上 Administrator 账户 的 凭据 (如 果 提 示 )， 或 必须 是 本 地 
计算 机 上 Administrators 组 的 成 员 。 

里 ”由 于 重 命 名 的 用 户 账户 会 保留 其 安全 标识 符 (SID)， 因 此 也 保留 其 他 所 有 属性 ， 如 描述 、 密 码 、 
组 成 员 身份 、 用 户 配 置 文件 、 账 户 信息 以 及 任何 已 指派 的 权限 和 用 户 权利 。 

于 “用户 名 不 能 与 被 管理 的 计算 机 上 任何 其 他 用 户 名 或 组 名 相同 。 用 户 名 最 多 可 以 包含 除 下 列 字 符 外 


的 20 个 大 写字 符 或 小 写字 符 : "、/、\、[、]、:、;、1、=、,、+、*+、?、<、>、@。 


如 图 4-28 所 示 ， 查 看 当前 用 户 的 SID， 在 命令 行 下 输入 whoami /user， 显 示 当 前 用 户 的 SID。 管 理 
员 的 SID 默认 后 三 位 是 500。 


4-28 查看 用 户 的 SID 


4.2 ”管理 本 地 组 


组 是 用 户 账户 的 集合 ， 利 用 组 可 以 管理 对 共享 资源 的 访问 。 这 样 的 共享 资源 包括 网 络 文件 夹 、 文 件 、 
目录 和 打印 机 。 利 用 组 ， 可 以 将 访问 共享 资源 的 权限 一 次 授予 某 个 组 ， 而 不 是 单独 授予 多 个 用 户 。 利 用 组 
可 以 简化 授权 。 


如 销售 部 的 成 员 可 以 访问 产品 的 成 本 信息 ， 不 能 访问 公司 员工 的 工资 信息 ， 而 人 事 部 的 员工 可 以 访问 
员工 的 工资 信息 却 不 能 访问 产品 成 本 信息 。 当 一 个 销售 部 的 员工 调 到 人 事 部 后 ， 如 果 我 们 的 权限 控制 是 以 
每 个 用 户 为 单位 进行 控制 ， 则 权限 设置 相当 麻烦 而 且 容易 出 错 ; 如 果 我 们 用 组 进行 管理 则 相当 简单 ， 我 们 
只 需 将 该 用 户 从 销售 组 中 删除 再 将 之 添加 进 人 事 组 即 可 。 如 果 销 售 部 门 的 员工 兼职 人 事 部 门 工作 ， 需 要 将 
其 加 入 到 人 事 组 ， 则 该 用 户 就 有 了 两 个 组 的 权限 。 


4.2.1 默认 本 地 组 


下 面 列 出 了 每 个 组 的 默认 用 户 权利 。 这 些 用 户 权利 是 在 本 地 安全 策略 中 分 配 的 。 
Administrators: 此 组 的 成 员 具 有 对 计算 机 的 完全 控制 权限 ， 并 且 他 们 可 以 根据 需要 向 用 户 分 配 
用 户 权利 和 访问 控制 权限 .Administrator 账户 是 此 组 的 默认 成 员 。 当 计算 机 加 入 域 中 时 , Domain 
Admins 组 会 自动 添加 到 此 组 中 。 因 为 此 组 可 以 完全 控制 计算 机 ， 所 以 向 其 中 添加 用 户 时 要 特别 
谨慎 。 以 下 列 出 了 该 组 默认 用 户 权利 。 
。 ”从 网 络 访问 此 计算 机 。 
。 ”调整 进程 的 内 存 配 额 。 
。 ”允许 本 地 登录 。 
。 ”允许 通过 终端 服务 登录 。 
。 备份 文件 和 目录 。 
。” 跳 过 遍历 检查 。 
。 更 改 系统 时 间 。 
。 更 改 时 区 。 
。 创建 页 面 文件 。 
。 创建 全 局 对 象 。 
。 创建 符号 链接 。 
。 调试 程序 。 
。 从 远程 系统 强制 关机 。 
。 身份 验证 后 模拟 客户 端 。 
。 提高 日 程 安排 的 优先 级 。 
。 装载 和 印 载 设 备 驱 动 程序 。 
。 ”作为 批 处 理 作业 登录 。 
。 ”管理 审核 和 安全 日 志 。 
。 ”修改 固件 环境 变量 。 
。 ”执行 卷 维护 任务 。 
。 配置 单一 进程 。 
。 配置 系统 性 能 。 
。 从 扩展 坞 中 取出 计算 机 。 
。 ”还 原文 件 和 目录 。 
。 关闭 系统 。 
。 ”获得 文件 或 其 他 对 象 的 所 有 权 。 
和 ”Backup Operators: 此 组 的 成 员 可 以 备份 和 还 原 计算 机 上 的 文件 ， 而 不 管 保护 这 些 文件 的 权限 如 
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何 。 这 是 因为 执行 备份 任务 的 权利 要 高 于 所 有 文件 权限 。 此 组 的 成 员 无 法 更 改 安全 设置 。 

。 ”从 网 络 访问 此 计算 机 。 

。 ”允许 本 地 登录 。 

。 备份 文件 和 目录 。 

。 跳 过 遍历 检查 。 

。 ”作为 批 处 理 作 业 登 录 。 

。 ”还原 文件 和 目录 。 

。 关闭 系统 。 

Cryptographic Operators: 已 授权 此 组 的 成 员 执 行 加 密 操作 。 没 有 默认 的 用 户 权利 。 
Distributed COM Users: 允许 此 组 的 成 员 在 计算 机 上 启动 、 激 活 和 使 用 DCOM 对 象 。 没 有 默 
认 的 用 户 权利 。 

Guests: 该 组 的 成 员 拥 有 一 个 在 登录 时 创建 的 临时 配置 文件 ， 在 注销 时 ， 此 配置 文件 将 被 删除 。 
来 宾 账 户 (默认 情况 下 已 禁用 ) 也 是 该 组 的 默认 成 员 。 没 有 默认 的 用 户 权利 。 

JS_IUSRS: 这 是 Internet 信息 服务 (IIS) 使 用 的 内 置 组 。 没 有 默认 的 用 户 权 利 。 

Network Configuration Operators: 该 组 的 成 员 可 以 更 改 TCP/IP 设置 ， 并且 可 以 更 新 和 发 布 
TCP/IP 地 址 。 该 组 中 没有 默认 的 成 员 。 没 有 默认 的 用 户 权利 。 

了 Performance Log Users: 该 组 的 成 员 可 以 从 本 地 计算 机 和 远程 客户 端 管理 性 能 计数 器 、 日 志和 和 警 
报 ， 而 不 用 成 为 Administrators 组 的 成 员 。 没 有 默认 的 用 户 权利 。 

Performance Monitor Users: 该 组 的 成 员 可 以 从 本 地 计算 机 和 远程 客户 端 监视 性 能 计数 器 ， 而 不 
用 成 为 Administrators 组 或 Performance Log Users 组 的 成 员 。 没 有 默认 的 用 户 权利 。 

Power Users: 默认 情况 下 ,该 组 的 成 员 拥 有 不 高 于 标准 用 户 账户 的 用 户 权 利 或 权限 。 在 早期 版 本 
的 Windows 中 ，Power Users 组 专门 为 用 户 提供 特定 的 管理 员 权利 和 权限 执行 常见 的 系统 任 
务 。 在 此 版 本 Windows 中 ， 标 准 用 户 账户 具有 执行 最 常见 配置 任务 的 权限 ， 例 如 更 改 时 区 。 对 
于 需要 与 早期 版 本 的 Windows 相同 的 Power User 权利 和 权限 的 旧 应 用 程序 , 管理 员 可 以 应 用 
一 个 安全 模板 ， 此 模板 可 以 启用 Power Users 组 ， 以 假设 具有 与 早期 版 本 的 Windows 相同 的 
权利 和 权限 。 没 有 默认 的 用 户 权利 。 

Remote Desktop Users: 该 组 的 成 员 可 以 远程 登录 计算 机 。 人 允许 通过 终端 服务 登录 。 
Replicator: 该 组 支持 复制 功能 。Replicator 组 的 唯一 成 员 应 该 是 域 用 户 账户 , 用 于 登录 域 控制 器 
的 复制 器 服务 。 不 能 将 实际 用 户 的 用 户 账 户 添加 到 该 组 中 。 没 有 默认 的 用 户 权利 。 

Users: 该 组 的 成 员 可 以 执行 一 些 常见 任务 ， 例 如 运行 应 用 程序 、 使 用 本 地 和 网 络 打印 机 以 及 锁定 
计算 机 。 该 组 的 成 员 无 法 共享 目录 或 创建 本 地 打印 机 。 默 认 情 况 下 , Domain Users、 Authenticated 
Users 以 及 Interactive 组 是 该 组 的 成 员 。 因 此 ， 在 域 中 创建 的 任何 用 户 账户 都 将 成 为 该 组 的 成 
员 。 以 下 列 出 了 该 组 默认 用 户 权利 。 

。 ”从 网 络 访问 此 计算 机 。 

。 ”人 允许 本 地 登录 。 

跳 过 遍历 检查 。 

。 更改 时 区 。 

。 ”增加 进程 工作 集 。 

。 从 扩展 坞 中 取出 计算 机 。 

。 关闭 系统 。 


第 4 章 管理 本 地 用 户 和 组 


于 提供 远程 协助 帮助 程序 : 该 组 的 成 员 可 以 向 此 计算 机 用 户 提供 远程 协助 。 没 有 默认 的 用 户 权利 。 


4.2.2 ”创建 本 地 组 


如 果 默 认 本 地 组 不 能 满足 用 户 的 授权 要 求 ， 则 需要 创建 新 的 组 。 
Q@@ 打开 “服务 器 管理 器 ”窗口 ， 在 控制 台 树 中 ， 右 击 “ 组 ”选项 ， 在 弹出 的 快捷 菜单 中 选择 “新 建 


组 ”命令 。 
回 如 图 4-29 所 示 ， 在 “组 名 ”文本 框 中 ， 输 入 新 组 的 名 称 ， 在 
“描述 ”文本 框 中 ， 输 入 新 组 的 描述 ， 单 击 “ 添 加 ”按钮 。 ss。 Re 
@ 在 “选择 用 户 、 计 算 机 或 组 ”对 话 框 中 ， 执 行 下 列 操作 。 ee 


 ” 若 要 向 该 组 添加 用 户 账户 或 组 账户 ， 则 在 “输入 对 象 名 称 来 ee 
选择 ”文本 框 中 ， 输 入 要 添加 的 用 户 账户 或 组 账户 的 名 称 ， 
然后 单 击 “ 确 定 ” 按 钮 。 

a ” 若 要 向 该 组 添加 计算 机 账户 ， 则 单 击 “ 对 象 类 型 ”文本 框 ， [Erm 
选中 “计算 机 ” 复 选 框 ， 然 后 单 击 “ 确 定 ” 按 钮 。 在 “输入 
对 象 名 称 来 选择 ”文本 框 , 输入 要 添加 的 计算 机 账户 的 名 称 ， 


然后 单 击 “ 确 定 ” 按 钮 。 图 4-29 创建 组 
@ 在 “新 建 组 ”对 话 框 中 单 击 “ 创 建 ”按钮 ， 然 后 单 击 “ 关 闭 ” 
按钮 。 


4.2.3 ”管理 组 的 成 员 

打开 “服务 器 管理 器 ”窗口 ， 双 击 “ 组 ”选项 ， 在 组 的 属性 对 话 框 中 ， 如 图 4-30 所 示 ， 可 以 看 到 该 组 
的 成 员 ， 单 击 “ 添 加 ”按钮 ， 可 以 添加 用 户 到 该 组 。 选 中 其 中 的 成 员 ， 单 击 “ 删 除 ”按钮 ， 可 以 将 用 户 从 
该 组 删除 。 
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图 4-30 ”管理 组 的 成 员 


4.2.4 ”管理 用 户 所 属 的 组 


打开 “服务 器 管理 器 ”窗口 ， 双 击 用 户 账户 ， 打 开 用 户 属性 对 话 框 ， 如 图 4-31 所 示 。 切 换 到 “隶属 于 ” 
选项 卡 ， 可 以 看 到 用 户 所 属 的 组 。 单 击 “添加 ”按钮 ， 可 以 将 该 用 户 添加 到 某 个 组 。 选 中 某 个 用 户 ， 单 击 
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“删除 ”按钮 ， 可 以 将 该 用 户 从 某 个 组 删除 。 


[2 


4-31 ”查看 用 户 所 属 的 组 


4.2.5 ”删除 本 地 组 


中 打开 “服务 器 管理 器 ”窗口 。 
@ 右 击 要 删除 的 组 ， 在 弹出 的 快捷 菜单 中 选择 “删除 ”命令 即 可 。 
注意 事项 


无 法 删除 系统 默认 组 。 

不 能 恢复 已 删除 的 组 。 

删除 某 个 本 地 组 将 仅 删 除 该 组 。 而 不 会 删除 作为 该 组 成 员 的 用 户 账户 、 计 算 机 账户 或 组 账户 。 
如 果 删 除 某 个 组 ， 然 后 用 相同 的 组 名 创建 另 一 个 组 ， 则 必须 为 新 组 设置 新 的 权限 。 新 组 将 不 会 继 
承 分 配给 旧 组 的 权限 。 


4.3 管理 Server Core 上 的 账户 和 组 


由 于 Windows Server Core 操作 系统 只 有 命令 行 界面 ,因此 用 户 账户 和 组 的 管理 只 能 在 命令 行 下 实现 。 
另外 ， 可 以 在 有 图 形 界面 的 Windows Server 2008 的 服务 器 上 使 用 图 形 化 的 管理 工具 管理 Server Core 上 
的 账户 。 


4.3.1 在 Server Core 上 使 用 命令 行 管理 用 户 和 组 


以 管理 员 的 身份 登录 到 服务 器 核心 。 

如 图 4-32 所 示 ， 输 入 net user， 查 看 服务 器 上 的 所 有 账户 。 

输入 net user zhang al! /add， 添 加 一 个 zhang 用 户 ， 密 码 是 all!。 

输入 net user zhang a2!， 更 改 用 户 的 密码 为 a2!。 

输入 net user zhang， 查 看 用 户 详细 信息 。 

输入 net user zhang /del。 

输入 net localgroup managers /add， 创 建 一 个 组 managers。 

输入 net logcalgroup managers zhang /add, 将 zhang 用 户 添 加 到 managers 组 , 如 图 4-33 所 示 。 
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图 4-32 管理 Server Core 用 户 图 4-33 ”将 用 户 添加 到 组 


4.3.2 ”使 用 Windows Server 图 形 界 面 管理 Windows Server Core 


以 下 配置 将 会 实现 用 安装 了 Windows Server 2008 企业 版 的 WebServer 管理 工具 来 管理 Windows 
Server Core。 

Q@ 以 管理 员 的 身份 登录 到 Windows Server Core 

@ 输入 ipconfig， 查 看 耳 地 址 。 

@@ 输入 netsh firewall set opmode disable， 关 闭 Windows 防火 墙 。 如 图 4-34 所 示 ， 如 果 不 关 闭 防 
火 墙 ， 可 以 运行 以 下 命令 只 打开 特定 端口 : 
netsh firewall set opmode enable 
netsh firewall add portopening TCP 445 Netbios-ds 


D 
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图 4-34 关闭 防火 墙 


四 ”输入 net user administrator al!， 更 改 管理 员 Administrator 的 密码 与 WebServer 上 计算 机 中 管 
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理 员 Administrator 账户 的 密码 一 样 , 这 样 , 在 WebServer 使 用 图 形 界面 管理 工具 连接 Windows 
Server Core 时 才能 成 功 。 
回 在 安装 Windows Server 2008 企业 版 的 WebServer 上 , 以 管理 员 Administrator 密码 al! 登录 。 
如 图 4-35 所 示 ， 选 择 “ 开 始 ” 一 “运行 ”命令 ， 打 开 “ 运 行 ”对 话 框 ， 输 入 mmc， 单 击 “ 确 定 ” 
按钮 。 


G 提示 : MMC 是 微软 管理 控制 台 ， 可 以 将 多 个 管理 单元 添加 到 一 个 管理 控制 台 ， 使 用 起 来 较为 方便 。 


@ 如 图 4-36 所 示 ， 在 控制 台 窗 口 ， 选 择 “ 文 件 ” 一 “添加 /删除 管理 单元 ”命令 。 
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图 4-35 打开 微软 管理 控制 台 图 4-36 添加 /删除 管理 单元 


图 如 图 4-37 所 示 ， 在 出 现 的 “添加 或 删除 管理 单元 ”对 话 框 中 ， 选 中 “本 地 用 户 和 组 ”选项 ， 单 击 
“添加 ”按钮 。 

@ 如 图 4-38 所 示 ， 在 出 现 的 “选择 目标 机 器 ”对 话 框 中 ， 选 中 “ 另 一 台 计 算 机 ” 单 选 按钮 ， 输 入 
Windows Server Core 计算 机 的 卫 地 址 ， 单 击 “ 完 成 ”按钮 ， 最 后 单 击 “ 确 定 ”按钮 。 
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图 4-37 添加 本 地 用 户 和 组 管理 单元 图 4-38 选择 计算 机 


如 图 4-39 所 示 ， 此 时 该 管理 工具 可 以 管理 Windows Server Core 服务 器 上 的 用 户 和 组 了 。 
加 ”为 了 以 后 管理 方便 ， 可 以 将 其 保存 ， 选 择 “文件 ”1“ 保 存 ” 命 令 ， 在 打开 的 对 话 框 中 输入 文件 名 


“Server Core 的 用 户 和 组 ”。 以 后 单 击 该 管理 工具 就 能 直接 打开 这 个 管理 单元 。 
四 在 MMC 同样 可 以 添加 更 多 的 管理 单元 。 如 图 4-40 所 示 ， 添 加 了 管理 Server Core 服务 器 的 服务 
管理 单元 ， 可 以 管理 Server Core 上 的 服务 。 
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图 4-39 ”管理 Server Core 的 用 户 和 组 图 4-40 管理 Server Core 的 服务 


4.4 用 户 账 户 控制 概述 


用 户 账户 控制 (UAC) 是 Windows Vista 和 Windows Server 2008 操作 系统 的 一 个 新 安全 组 件 。 
UAC 使 用 户 可 以 非 管理 员 (在 此 版 本 的 Windows 中 称 为 “标准 用 户 ”) 以 及 管理 员 身 份 执行 常见 任务 ， 
而 无 须 切换 用 户 、 注 销 或 使 用 “以 管理 员 身 份 运行 ”命令 。 标 准 用 户 账户 与 Windows XP 中 的 用 户 账户 类 
似 。 作 为 本 地 Administrators 组 成 员 的 用 户 账户 以 标准 用 户 身份 运行 大 多 数 应 用 程序 。 因 为 UAC 在 进 
行 操作 时 将 用 户 功 能 和 管理 员 功能 分 隔 开 来 ， 所 以 它 是 此 版 本 Windows 的 一 个 重要 增强 功能 。 

当 管 理 员 登录 到 Windows Vista 或 Windows Server 2008 计算 机 时 , 将 为 用 户 分 配 两 个 单独 的 访问 
令 牌 。Windows 使 用 访问 令 牌 (包含 用 户 的 组 成 员 身份 、 授 权 数 据 和 访问 控制 数据 ) 控 制 用 户 可 以 访问 的 资 
源 和 任务 。 在 先前 版 本 的 Windows 中 ,管理 员 账 户 接收 的 一 个 访问 令 牌 包含 授予 用 户 访问 所 有 Windows 
资源 权限 的 数据 。 此 访问 控制 模型 不 包含 任何 故障 保险 检查 ， 而 故障 保险 检查 可 以 确保 用 户 真正 执行 需要 
他 (或 她 ) 的 管理 访问 令 牌 的 任务 。 

因此 ， 亚 意 软件 可 以 将 其 自身 安装 在 计算 机 上 ， 而 不 会 通知 用 户 。 此 过 程 通常 称 为 “无 提示 ”安装 。 
因为 用 户 是 管理 员 , 所 以 恶意 软件 可 以 使 用 管理 员 的 访问 控制 数据 感染 核心 操作 系统 文件 。 在 某 些 情况 下 ， 
恶意 软件 可 能 会 变 得 几乎 不 可 能 被 删除 ， 而 且 可 能 会 造成 更 多 破坏 。 

此 版 本 的 Windows 中 的 标准 用 户 和 管理 员 之 间 的 主要 区 别 在 于 他 们 对 计算 机 有 多 少 控制 权 。 管理 员 
可 以 更 改 系统 状态 、 关 闭 防 火 墙 、 关 闭 策略 、 安 装 影响 计算 机 上 每 个 用 户 的 服务 或 驱动 程序 等 ， 可 以 为 整 
台 计算 机 安装 软件 ， 而 标准 用 户 无 法 以 这 种 方式 更 改 系统 状态 。 


4.4.1 为 什么 不 应 以 管理 员 身份 运行 计算 机 
以 Administrators 组 成 员 的 身份 运行 计算 机 将 使 系统 容易 受到 特洛伊 木马 及 其 他 安全 风险 的 威胁 。 
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访问 Internet 站 点 或 打开 电子 邮件 附件 的 简单 行为 都 可 能 破坏 系统 。 不 熟悉 的 Internet 站 点 或 电子 邮件 
附件 可 能 包含 特洛伊 木马 代码 ， 这 些 代码 可 以 下 载 到 系统 并 被 执行 。 

如 果 以 本 地 计算 机 的 管理 员 身 份 登录 ， 特 洛 伊 木马 可 能 使 用 管理 访问 权重 新 格式 化 用 户 的 硬盘 ， 删 除 
文件 并 创建 新 的 用 户 账户 。 

在 本 地 计算 机 上 ， 建议 将 域 用 户 账 户 仅 添 加 到 Users 组 (而 非 Administrators 组 )， 以 执行 例 行 任务 ， 
包括 运行 程序 和 访问 Internet 站 点 。 当 需要 在 本 地 计算 机 上 执行 管理 任务 时 ， 应 通过 管理 凭据 使 用 “以 管 
理 员 身 份 运行 ”启动 程序 。 

可 以 使 用 “以 管理 员 身 份 运行 ”完成 管理 任务 ， 而 不 致 将 计算 机 置 于 不 必要 的 风险 中 。 


4.4.2 ”启用 用 户 账户 控制 (UAC) 


以 管理 员 的 身份 登录 计算 机 。 
@ 选择 “开始 ”一 “设置 ”一 “控制 面板 ”一 “用 户 帐 户 ” 命 令 ， 打 开 如 图 4-41 所 示 对 话 框 ， 单 
“打开 或 关闭 用 户 帐 户 控制 ”按钮 。 


Et 


BU 隐 - 印 本 页" RPR 


文件 四 ” 鲍 竹 四 查看 mW 工 居 T) 划 动 00 


Lid 更 下 用 户 喇 户 

9 而 认 信 

EE a 

SE ee | Te 
可 和 训 级 用 户 本 基文 半 性 短 计 
kT 


首 尖 理 基体 户 


因 打开 式 关 所 “用户 几 户 控制 ” 


图 4-41 打开 或 关闭 用 户 账户 控制 
@ 如 图 4-42 所 示 。 选 中 “使 用 用 户 帐 户 控制 (UAC) 帮 助 保护 您 的 计算 机 ” 复 选 框 。 


BO BAR 


文件 四 编 如 中” 硬 看 WM 工具 天助 00 


打开 用 户 帐户 入 制 WA) 以 使 全 的 计算 机 惠安 全 
用户 由 控制 WAC) 能 吉 多 和 止 对 计算 机 进行 示 好 括 权 的 更 汶 * 我 们 建 光 六 运行 Ic 未 保护 人 计算 机 。 
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图 4-42 启用 用 户 账户 控制 


4.4.3 ”以 管理 员 身 份 运行 


以 普通 用 户 的 账户 登录 计算 机 。 单 击 “ 服 务 器 管理 器 ”| 加 型 | 辆 | 副 按钮 ， 出 现 “ 用 户 帐户 控制 ” 
对 话 框 ， 如 图 4-43 所 示 ， 会 显示 这 台 计算 机 上 具有 管理 员 权限 的 账户 ， 单 击 账户 ， 输 入 密码 ， 单 击 “ 确 定 ” 
按钮 ， 就 可 以 管理 员 的 身份 打开 服务 器 管理 器 了 。 

另外 ， 选 择 “ 开 始 ” 一 “设置 ”一 “控制 面板 ”一 “管理 工具 ”命令 ， 在 打开 的 对 话 框 中 右 击 某 个 管 
理工 具 ， 在 弹出 的 快捷 菜单 中 选择 “以 管理 员 身 份 运行 ”命令 ， 也 可 以 管理 员 的 身份 打开 服务 器 管理 器 ， 
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如 图 4-44 所 示 。 


UU A =“ 画 F= 加 
Fo 呈 四 本 M IO 和 四 
直 识 ” 膨 和 四。 避 打 下 和 
es 
目 zt 和 551 必 才 得到 2005/1 导 所 志 式 2 
Ba 
[了 ners 加 
外 到 
BB wx 是 
VE 了 
加 
计 
区 
中 
中 
区 
目 
天 
图 4-43 ”以 管理 员 身份 运行 (一 ) 图 4-44 ”以 管理 员 身 份 运行 (二 ) 


4.5 本 地 用 户 和 组 最 佳 实践 


作为 安全 性 的 最 住 实践 ， 建 议 不 要 使 用 管理 凭据 登录 到 计算 机 。 
未 使 用 管理 凭据 登录 到 计算 机 时 ， 可 以 使 用 “以 管理 员 身 份 运行 ”来 完成 比 标准 用 户 账户 更 高 级 别 权 
限 的 任务 。 

若 要 进一步 保护 本 地 计算 机 ， 建 议 遵 循 下 列 安全 指南 。 

时。 限制 Administrators 组 中 的 用 户 数量 。 因为 本 地 计算 机 中 Administrators 组 的 成 员 拥有 对 该 计 
算 机 的 完全 控制 权限 。 

于 “禁用 Guest 账户 。Guest 账户 由 在 这 台 计 算 机 上 没有 实际 账户 的 人 使 用 。Guest 账户 不 要 求 密 
码 ， 因 此 存在 安全 隐患 。 默 认 情况 下 将 禁用 Guest 账户 ， 并 且 建 议 将 其 保持 禁用 状态 。 

和 ”禁用 Administrator 账户 。 默 认 情 况 下 将 禁用 Administrator 账户 ， 并 且 建 议 将 其 保持 禁用 状 
态 。 

里。 分 配给 特定 默认 本 地 组 的 某 些 默认 用 户 权限 可 能 允许 这 些 组 的 成 员 获 得 计算 机 的 额外 权限 ， 包 括 
管理 权限 。 因 此 ， 必 须 信任 属于 Administrators 和 Backup Operators 组 的 所 有 人 员 。 


(@) 注意 ， 如 果 你 位 于 包含 运行 Windows 95 和 Windows 98 的 计算 机 的 网 络 上 ， 请 使 用 不 超过 14 个 字母 
的 密码 。 


里 “可 以 创建 包含 多 达 127 个 字符 的 密码 。 但 是 , 运行 Windows 95 和 Windows 98 的 计算 机 仅 支 
持 不 超过 14 个 字符 的 密码 。 如 果 密 码 超过 14 个 字符 ， 则 可 能 无 法 从 运行 Windows 95 和 
Windows 98 的 计算 机 登录 到 网 络 。 
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计算 机 的 组 织 形式 包括 工作 组 和 域 两 种 ， 工 作 组 是 全 关键 记 
中 的 计算 机 没有 办 法 集中 管理 ， 用 户 访问 网 络 资源 也 活动 目录 介绍 
没有 办 法 统一 身份 验证 ， 而 将 计算 机 组 织 成 域 环境 ， 创建 Windows Server 2008 活动 
可 以 实现 集中 管理 域 中 的 计算 机 和 域 用 户 ， 以 及 实现 时 
集中 的 身份 验证 。 设计 活动 目录 组 织 单位 


在 活动 目录 中 域 用 户 的 配置 文件 即 用 户 的 环境 可 创建 和 管理 域 用 户 
以 放 到 网 络 中 的 一 个 服务 器 的 共享 文件 夹 中 ， 用 户 在 漫游 式 用 户 配 置 文件 
域 中 任何 一 台 计 算 机 登录 ， 都 能 使 用 自己 的 环境 。 在 活动 目录 中 使 用 组 


在 活动 目录 中 使 用 组 的 策略 : A 一 G 一 DL 一 P 策 
略 。 


@ Windows Server 2008 下 王 亏 三 下 三 


5.1 活动 目录 介绍 


下 面 介绍 计算 机 的 两 种 组 织 形式 : 工作 组 和 域 。 先 介绍 工作 组 的 限制 ， 再 介绍 活动 目录 的 功能 ， 也 就 
是 将 计算 机 组 织 成 域 的 形式 ， 从 而 解决 工作 组 面临 的 难题 。 


5.1.1 工作 组 中 的 限制 


计算 机 安装 操作 系统 后 ， 默 认 的 计算 机 属于 Workgroup 工作 组 。 工 作 组 是 最 简单 的 计算 机 组 织 形式 。 

工作 组 中 的 计算 机 没有 统一 的 管理 机 制 ， 每 台 计算 机 的 管理 员 只 能 管理 本 地 计算 机 ， 比 如 设置 计算 机 
的 安全 策略 、 本 地 连接 和 共享 等 管理 工作 。 

工作 组 的 计算 机 也 没有 对 用 户 账户 的 统一 身份 验证 机 制 ， 用 户 登录 计算 机 只 能 使 用 该 计算 机 的 本 地 用 
户 账户 ， 由 本 地 计算 机 来 验证 用 户 的 身份 。 当 访问 网 络 上 的 共享 资源 时 ， 还 需要 提供 访问 网 络 资 源 的 凭据 。 
户 需要 记 下 访问 各 个 服务 器 的 账户 和 密码 。 

工作 组 的 计算 机 也 没有 统一 查找 网 络 资源 的 机 制 ， 比 如 网 络 中 的 共享 打印 机 、 企 业 的 用 户 账户 信息 及 
共享 文件 夹 等。 

基于 以 上 限制 ， 工 作 组 是 较 小 规模 计算 机 网 络 组 织 的 形式 。 在 大 企业 中 网 络 规模 大 ， 计 算 机 数量 多 ， 
需要 统一 的 管理 和 集中 的 身份 验证 ， 并 且 能 够 给 用 户 提供 方便 的 搜索 和 使 用 网 络 资源 的 方式 ， 工 作 组 的 组 
织 形式 就 不 适合 了 。 


5.1.2 ”活动 目录 的 功能 


先 明确 域 的 概念 。 

于 “将 网 络 中 多 台 计 算 机 罗 辑 上 组 织 到 一 起 ， 进 行 集中 管理 ， 这 种 区 别 于 工作 组 的 逻辑 环境 叫做 域 。 
里。 域 是 组 织 与 存储 资源 的 核心 管理 单元 。 

活动 目录 提供 了 存储 网 络 上 对 象 信息 并 使 网 络 用 户 使 用 该 数据 的 方法 。 活 动 目 录 有 以 下 特点 。 

集中 管理 。 

便捷 的 网 络 资源 访问 。 

用 户 一 次 登录 就 可 访问 整个 网 络 资源 。 

网 络 资源 主要 包含 用 户 账户 、 组 、 共 享 文件 夹 、 打 印 机 等 。 

可 扩展 性 。 


5.1.3 ”DNS 服务 器 在 域 环境 中 的 作用 


ADDS 服务 器 角色 要 求 域名 系统 (DNS) 服务 按 名 称 查找 计算 机 、 域 控制 器 、 成 员 服 务 器 和 网 络 服务 。 
DNS 服务 器 角色 通过 将 名 称 映射 到 下 地 址 为 基于 TCP/IP 的 网 络 提供 DNS 名 称 解 析 服 务 ， 从 而 使 计算 
机 可 以 查找 ADDS 环境 中 的 网 络 资源 。 


”域名 解析 : DNS 服务 器 通过 其 A 记录 将 域名 解析 为 P 地 址 。 
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到 ”定位 活动 目录 服务 : 客户 机 通过 DNS 服务 器 上 SRV 记录 定位 目录 服务 。 
通常 情况 下 ，DNS 和 DC 两 个 服务 装 在 同一 台 计 算 机 上 。 客 户 机 如 果 想 要 找到 域 控制 器 ， 其 DNS 必 
须 指 向 域 控制 器 上 的 DNS。 


5.2 ”实战 : 创建 Windows Server 2008 域 


任务 描述 

下 面 将 创建 如 下 域 环境 。 

里 DCServer 作为 域 控制 器 和 DNS 服务 器 ， 服 务 器 为 FileServer，Research 是 研发 部 门 的 计算 机 ， 
Sales 是 销售 部 门 的 计算 机 。 

”HanLG 是 研发 部 门 的 用 户 账户 ，ZhangJL 是 研发 部 门 的 归档 账户 ，WangRS 是 销售 部 门 的 用 
户 账 户 。 

里 FielServer 存放 用 户 的 配置 文件 ， 共 享 公司 共享 文件 夹 “ 研 发 图 纸 ” 和 “销售 资料 ”。 

和 ProfileServer 存放 域 用 户 漫游 用 户 配置 文件 。 

实战 环境 

如 图 5-1 所 示 。 

DCServer 安装 了 Windows Server 2008 企业 版 操作 系统 ，IP 地 址 为 10.7.10.12。 

FileServer 安装 了 Windows Server 2008 企业 版 操作 系统 。 

Research 安装 了 Windows Server 2008 企业 版 操作 系统 。 

ProfileServer 安装 Windows Server 2008 企业 版 核心 。 

Sales 安装 了 Vista 操作 系统 。 


ProfileServerr Peer 


服务 器 


~™ 


Resercn 


5-1 实战 环境 
实战 目标 
理学 会 在 Windows Server 2008 企业 版 操作 系统 中 安装 活动 目录 。 
和 安装 活动 目录 后 的 检查 。 
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@ Windows Server 2008 7 


学 会 将 计算 机 加 入 域 。 

能 够 根据 部 门 结构 在 活动 目录 中 创建 组 织 单元 。 
创建 和 管理 域 用 户 。 

在 域 环境 中 使 用 组 。 

创建 漫游 式 用 户 配置 文件 。 


该 实战 中 用 到 了 以 下 虚拟 机 ,如 图 5-2 所 示 , 选择 VM 一 Settings 命令 ,在 打开 的 Virtual Machine Settings 
对 话 框 中 ， 切 换 到 Options 选项 卡 ， 在 Virtual machine name 文本 框 中 输入 虚拟 机 的 名 称 。 


5:2.1 
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在 


@ 四 日 四 


au vee wen scr ta fs 
Fm oe vow [WE] Toom CE Wedom mm 
图 we WT El=GE 
= 


图 5-2 设置 虚拟 机 显示 名 


在 DCServer 上 安装 活动 目录 


任务 


更 改 计算 机 名 称 。 

更 改 耳 地 址 。 

安装 活动 目录 。 
步骤 


以 管理 员 的 身份 登录 DCServer， 更 改 计算 机 名 为 DCServer， 重 启 操作 系统 。 

如 图 5-3 所 示 , 将 DCServer 的 IP 地 址 配置 为 静态 全 地 址 10.7.10.12, 子 网 掩 码 为 255.255.255.0， 
默认 网 关 为 10.7.10.1， 首 选 DNS 服务 器 10.7.10.12。 因 为 安装 活动 目录 的 同时 也 要 安装 DNS 服 
务 ，DNS 服务 要 求 服务 器 使 用 静态 IP 地 址 。 

选择 “开始 ”一 “运行 ”命令 ， 在 打开 的 对 话 框 中 输入 dcpromo， 单 击 “ 确 定 ” 按 钮 。 如 图 5-4 
所 示 ， 打 开 活动 目录 安装 向 导 ， 单 击 “ 下 一 步 ” 按 钮 。 

如 图 5-5 所 示 ， 在 “操作 系统 兼容 性 ”界面 中 ， 单 击 “ 下 一 步 ”按钮 。 

如 图 5-6 所 示 ， 在 出 现 的 “选择 某 一 部 署 配置 ”界面 中 ， 选 中 “在 新 林 中 新 建 域 ” 单 选 按钮 ， 单 
击 “ 下 一 步 ” 按 钮 。 

如 图 5-7 所 示 。 在 出 现 的 “命名 林 根 域 ” 界 面 中 ， 输 入 目录 林 根 级 域 的 完全 限定 域名 
(FQDN)ESS.COM， 单 击 “ 下 一 步 ”按钮 。 


图 5-5 操作 系统 兼容 性 图 5-6 创建 新 的 林 


© 注 : 输入 的 域名 要 求 是 FQDN 名 字 ， 不 能 是 类 似 于 ESS 这 样 的 名 字 。 比 如 微软 公司 要 创建 一 个 域 ， 域 名 
可 以 输入 microsoft.com， 但 不 能 是 Microsoft。 


@ ”如 图 5-8 所 示 ， 在 出 现 的 “设置 林 功 能 级 别 ” 界 面 中 , 选中 Windows Server 2008 选项 ， 单 击 “ 下 


图 5-7 命名 林 根 域 图 5-8 设置 林 功能 级 别 
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@ 人 理 之 过 
如 图 5.9 所 示 ， 在 “其 他 域 控制 器 选项 ”界面 中 ， 选 中 “DNS 服务 器 ” 复 选 框 ， 单 击 “ 下 一 步 ” 
按钮 。 


© 注意 ， 此 林 功 能 级 别 不 提供 Windows 2003 林 功 能 级 别 之 上 的 任何 新 功能 。 但 是 ， 它 确保 在 该 林 中 创建 
的 任何 新 域 将 自动 在 Windows Server 2008 域 功能 级 别 运行 ， 这 样 可 提供 独特 的 功能 。 


@ 如 图 5-10 所 示 ， 在 出 现 的 提示 对 话 框 中 ， 单 击 “ 是 ”按钮 。 
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图 5-9 “其 他 域 控制 器 选项 ”对 话 框 图 5-10 ”提示 对 话 框 


如 图 5-11 所 示 ， 在 出 现 的 “数据 库 、 日 志文 件 和 SYSVOL 的 位 置 ” 界 面 中 ， 指 定数 据 库 、 日 志 
文件 和 SYSVOL 的 位 置 ， 单 击 “ 下 一 步 ”按钮 。 


提示 : 数据 库存 储 有 关 用 户 、 计 算 机 和 网 络 中 的 其 他 对 象 的 信息 。 日 志文 件 记录 与 AD DS 有 关 的 活动 ， 
例如 有 关 当 前 更 新 对 象 的 信息 。SYSVOL 存储 组 策略 对 象 和 脚本 。 默认 情况 下 ，SYSVOL 是 位 于 
%windir96 目录 中 的 操作 系统 文件 的 一 部 分 。 对 于 更 加 复杂 的 安装 ， 可 能 需要 配置 你 的 硬盘 存储 以 优化 


AD DS 的 性 能 。 由 于 数据 库 和 日 志文 件 以 不 同方 式 利用 磁盘 存储 空间 ， 因 此 可 以 通过 将 每 种 内 容 分 配 到 
不 同 的 硬盘 主轴 来 提高 AD DS 的 性 能 。 


@@ 如 图 5-12 所 示 ， 在 “目录 服务 还 原 模式 的 Administrator 密码 ”界面 中 ， 输 入 活动 目录 恢复 时 用 
到 的 管理 员 密码 ， 单 击 “ 下 一 步 ” 按 钮 。 


cm 


Pr 


图 5-11 指定 数据 库 、 日 志文 件 以 及 SYSVOL 的 位 置 


图 5-12 指定 活动 目录 还 原 密码 
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后 提示 : 该 密码 在 活动 目录 恢复 时 会 用 到 ， 必 须 牢记 ， 和 否则 不 能 还 原 活动 目录 。 


@ 如 图 5-13 所 示 , 单 击 “ 下 一 步 ”按钮 ， 在 出 现 的 对 话 框 中 选中 “完成 之 后 重启 ” 复 选 框 完成 向 导 。 


提示 : 在 Active Directory 域 服务 (AD DS) 未 运行 (因为 AD DS 已 停止 或 因为 域 控制 器 已 在 DSRM 中 局 
动 ) 时 ， 目 录 服 务 还 原 模 式 (DSRM) 密 码 是 登录 域 控制 器 所 必需 的 。 
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图 5-13 摘要 


© 注意 ; 印 载 活动 目录 也 是 用 dcpromo 命令 。 安 装 上 活动 目录 后 ， 本 地 用 户 和 组 将 不 可 用 。 


5.2.2 ”安装 后 的 检查 


1. 任务 


”检查 活动 目录 安装 是 否 正 常 。 
”更 改 域 控制 器 本 地 连接 的 DNS 设置 。 
”检查 DNS 服务 域 控制 器 注册 的 SRV 记录 。 


2. 步骤 


Q@ 以 管理 员 身份 登录 到 域 控制 器 。 
@ ”如 图 5-14 所 示 ， 更 改 域 控制 器 使 用 的 DNS 服务 器 ， 打 开 TCP/IPv4 协议 ， 将 首选 的 DNS 服务 器 
更 改 为 10.7.1.110。 


注意 : 默认 安装 活动 目录 后 ， 首 选 DNS 会 指定 成 127.0.0.1， 所 以 启动 后 的 第 一 件 事 就 是 将 首选 的 DNS 
指向 自己 的 卫 地 址 。 


@@ ”如 图 5-15 所 示 ， 打 开 服 务 管理 器 ， 检 查 DNS 上 的 SRV 记录 。 注 意 上 面 是 4 项 ， 下 面 是 6 项 。 
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5-14 ”将 首选 的 DNS 指向 本 机 的 IP 地 址 图 5-15 域 控制 器 项 DNS 注册 的 SRV 记录 


| 提示: 这些 SRV 记录 是 域 控 制 器 注册 的 。 通 过 这 些 记录 ， 客 户 机 能 够 找到 ESS.COM 这 个 域 的 域 控制 
器。 如果 安装 完 活动 目录 后 ， 发 现 SRV 记录 不 全 ， 则 客户 端 就 无 法 找到 域 控制 器 。 如 何 做 呢 ? 请 看 下 面 
的 任务 。 


@ 检查 活动 目录 的 默认 结构 。 在 服务 器 管理 器 中 ， 展 开 “ 角 色 ” 一 “Active Directory 域 服务 ”一 
“Active Directory 用 户 和 计算 机 ”一 ESS.COM 节点 ， 如 图 5-16 所 示 。 
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图 5-16 活动 目录 默认 结构 


Builtin: 存放 的 是 内 置 的 组 。 

Computers: 默认 计算 机 加 入 域 后 ， 计 算 机 账户 存放 的 位 置 就 是 Computers。 
Domain Controllers: 存放 该 域 中 的 域 控制 器 ， 不 要 轻易 将 域 控制 器 移动 到 其 他 位 置 。 
ForeignSecurityPrincipals: 存放 信任 的 外 部 域 中 安全 主体 。 

Users: 默认 用 户 的 存放 位 置 。 

如 图 5-17 所 示 ， 选 中 ESS.COM 选项 ， 选 择 “ 查 看 ”一 “高 级 功能 ”命令 。 


的 @ 上 ne 
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@ 如 图 5-18 所 示 ， 可 以 看 到 活动 目录 中 更 多 容器 。 


S 提示 : 启用 高 级 功能 后 能 够 看 到 隐藏 的 系统 目录 。 
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图 5-17 启用 高 级 功能 图 5-18 ”启用 高 级 功能 后 看 到 的 内 容 


5.2.3 ”让 域 控 制 器 向 DNS 服务 器 注册 SRV 记录 


由 于 某 种 原因 , 装 完 活动 目录 后 发 现 DNS 上 的 正 向 区 域 和 SRV 记录 没有 或 不 全 , 需要 采取 以 下 措施 ， 
强制 让 域 控制 器 向 DNS 注册 SRV 记录 。 

下 面 先 删除 DNS 服务 器 上 的 正 向 区 域 , 同时 也 就 删除 了 该 区 域 下 的 所 有 记录 。。 然 后, 将 会 让 域 控制 器 
向 DNS 服务 器 注册 其 SRV 记录 。 

@ 打开 “服务 管理 器 ”窗口 。 
如 图 5-19 所 示 ， 右 击 _msdcs.Ess.com 选项 ， 在 弹出 的 快捷 菜单 中 选择 “删除 ”命令 。 
在 弹出 的 提示 框 中 ， 单 击 “ 是 ”按钮 。 
右 击 ESS.COM 选项 ， 在 弹出 的 快捷 菜单 中 选择 “删除 ”命令 。 
在 弹出 的 提示 框 中 ， 单 击 “ 是 ”按钮 。 


加 
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提示 : 现在 相当 于 DNS 没有 配置 成 功 ， 没 有 正 向 查找 区 域 ， 也 没有 SRV 记录 。 这 种 情况 域 中 的 其 他 计 
算 机 没有 办 法 通过 DNS 找到 ESS.COM 域 的 域 控制 器 。 


@ 如 图 5-20 所 示 ， 右 击 “ 正 向 查找 区 域 ” 选 项 ， 在 弹出 的 快捷 菜单 中 选择 “新 建 区 域 ”命令 。 

@ 在 新 建 区 域 向 导 中 ， 单 击 “ 下 一 步 ”按钮 。 

如 图 5-21 所 示 ， 区 域 类 型 选择 “主要 区 域 ”， 选 中 “在 Active Directory 中 存储 区 域 ” 复 选 框 ， 
单 击 “ 下 一 步 ” 按 钮 。 


提示 : 选中 “在 Active Directory 中 存储 区 域 ” 复 选 框 ， 该 区 域 就 支持 安全 更 新 ， 即 域 中 的 计算 机 下 地址 
变化 后 可 以 向 该 区 域 注册 自己 的 卫 地 址 . 
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CD 


回 如 图 5-22 所 示 ， 在 “Active Directory 区 域 传送 作用 域 ” 界 面 中 ， 选 择 “ 至 此 域 中 的 所 有 DNS 
服务 器 ” 单 选 按钮 。 


_ 
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5-19 ”删除 整个 区 域 
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图 5-21 指定 区 域 类 型 


图 5-22 ”指定 活动 目录 传送 作用 域 


如 图 5-23 所 示 ， 输 入 区 域名 字 _msdcs.ESS.COM， 单 击 “ 下 一 步 ”按钮 。 


四 日 四 日 日 


提示 : _msdcs 是 固定 格式 ， 比 如 您 安装 的 林 的 名 称 是 sohu.com， 那 么 需要 创建 一 个 mmsdcs.sohu.com 正 向 


查找 区 域 。 


如 图 5-24 所 示 ， 在 “动态 更 新 ”界面 中 


， 选 中 “只 允许 安全 的 动态 更 新 ” 单 选 按钮 。 


单 击 “ 下 一 步 ”按钮 ， 然 后 单 击 “ 完 成 ”按钮 。 


如 图 5-25 所 示 ， 按 照 上 面 的 步骤 创建 一 
如 图 5-26 所 示 ， 注 意 观 察 ， 刚 建 的 两 个 
确保 域 控制 器 的 TCP/IPv4 的 首选 DNS 


个 ESS.COM 区 域 。 这 个 名 字 必 须 是 活动 目录 的 名 字 。 
区 域 下 面 没有 SRV 记录 。 
指向 自己 的 地 址 。 
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5-23 ”创建 正 向 查找 区 
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图 5-25 创建 正 向 查找 区 域 图 5-26 创建 好 的 两 个 正 向 查找 区 域 


四 如 图 5-27 所 示 ， 在 域 控制 器 上 运行 net stop netlogon。 
四 ”再 运行 net start netlogon。 


提示 : 你 也 可 以 选择 “开始 ”一 “运行 ”命令 ， 输 入 services.msc， 打 开 服务 管理 工具 ， 使 用 图 形 界面 管 
”理工 具 重 启 netlogon 服务 。 该 服务 只 有 域 中 的 计算 机 是 自动 启动 的 ， 工 作 组 中 的 计算 机 默认 该 服务 是 关 
闭 的 。 
@@ 选中 DNS 服务 器 刚才 创建 的 两 个 区 域 ， 按 F5 键 刷新 。 如 图 5-28 所 示 ， 你 会 发 现 已 经 注册 成 功 
SRV 记录 。 
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图 5-27 重启 netlogon 服务 5-28 ” 域 控制 器 向 DNS 注册 SRV 记录 成 功 


5.2.4 SRV 记录 注册 不 成 功 的 可 能 原因 


默认 情况 , 安装 完 活动 目录 DNS 中 的 SRV 记录 就 注册 成 功 了 , 如 果 在 域 控制 器 上 重启 netlogon 服务 ， 
有 可 能 还 是 不 能 注册 SRV 记录 到 DNS 服务 器 上 ， 以 下 是 总 结 的 需要 检查 的 几 点 。 
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DNS 区 域名 字 是 否 正 确 ， 是 否 允 许 安 全 更 新 。 

创建 的 正 向 查找 区 域 的 名 字 必 须 是 活动 目录 的 名 字 ， 还 必须 创建 一 个 _msdcs. 活 动 目录 名 字 区 域 
双击 创建 的 区 域 ， 如 图 5-29 所 示 ， 确 保 动态 更 新 是 “安全 ”或 “ 非 安全 ”， 不 能 选择 “无 
确保 域 控制 器 全 名 已 经 包括 了 活动 目录 的 名 字 ， 如 图 5-30 所 示 ， 默 认 是 包括 的 。 
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图 5-29 正 向 查找 区 允许 安全 更 新 图 5-30” 域 控制 器 的 全 名 必须 有 域名 后 缀 


如 果 域 控制 器 的 全 名 没有 包括 E55.COM 后 缀 ， 单 击 “ 更 改 ” 按 钮 。 如 图 5-31 所 示 ， 在 弹出 的 对 
话 框 中 ， 单 击 “ 确 定 ” 按 钮 。 
如 图 5-32 所 示 ， 在 “计算 机 名 / 域 更 改 ” 对 话 框 中 ， 单 击 “ 其 他 ”按钮 。 
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图 5-31 提示 对 话 框 图 5-32 更 改 后 缀 


默认 已 经 选中 了 “在 域 成 员 身 份 变化 时 ,更 改 主 DNS 后 级" 复 选 框 ,如 图 5-33 所 示 ,输入 ESS.COM 
后 绥 ， 单 击 “ 确 定 ” 按 钮 。 这 样 就 给 域 控制 器 的 计算 机 添加 了 一 个 域 后 绥 。 

于 ”如 图 5-34 所 示 ， 确 保 域 控制 器 的 TCP/IP 属性 中 已 经 选中 “在 DNS 中 注册 此 连接 的 地 址 ” 复 选 
框 。 


图 5-33 添加 后 组 图 5-34 在 DNS 中 注册 此 连接 的 地 址 


5.2.5 ”将 计算 机 加 入 域 


将 计算 机 加 入 域 可 以 执行 以 下 操作 。 


GD 将 Sales 计算 机 的 计算 机 名 称 改 为 Sales， 重 启 系统 。 
@ 以 管理 员 的 身份 登录 Sales， 更 改 Sales 计算 机 的 本 地 连接 的 首选 DNS 服务 器 为 10.7.10.12， 如 
5-35 所 示 。 
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提示 : 客户 机 使 用 DNS 定位 域 控制 器 ， 因 此 必须 使 用 内 网 的 DNS 服务器， 不 能 使 用 Intemet 上 的 DNS 服 
” 务 器 ， 如 果 是 笔记 本 电脑 ， 有 可 能 在 家 或 出 差 时 使 用 ， 备 用 的 DNS 可 以 使 用 Intemet 上 的 DNS 服务 器 。 


如 图 5-36 所 示 ， 右 击 “ 计 算 机 ”图 标 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 。 

在 出 现 的 “系统 ”对 话 框 中 ， 单 击 “ 改 变 设 置 ”按钮 。 

在 出 现 的 “系统 属性 ”对 话 框 中 ， 单 击 “ 更 改 ”按钮 ， 如 图 5-37 所 示 。 

如 图 5-38 所 示 ， 在 出 现 的 “计算 机 名 / 域 更 改 ” 对 话 框 中 ， 输 入 ESS.COM 域名 ， 单 击 “ 确 定 ” 
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图 5-37 更 改 系 统 属性 图 5-38 将 计算 机 加 入 到 域 


加 如 图 5-39 所 示 ， 在 出 现 的 Windows 安全 对 话 框 中 ， 输 入 域 管 理 员 账 户 和 密码 ， 单 击 “ 确 定 ” 
按钮 。 


S 提示 : 域 中 的 非 管理 员 用 户 也 可 将 计算 机 加 入 到 域 . 


tis0'1 


如 图 5-40 所 示 ， 提 示 成 功 加 入 域 ， 重 启 计算 机 。 


注意 : 将 计算 机 加 入 域 后 ， 将 自动 在 活动 目录 的 computers 目录 下 创建 计算 机 账户 。 另 外 ， 还 可 以 在 活动 
目录 中 先 创建 计算 机 账户 ， 再 将 计算 机 加 入 域 ， 这 样 实体 计算 机 和 计算 机 账号 将 自动 关联 。 
若 将 计算 机 脱离 域 ， 只 需 将 计算 机 加 入 工作 组 即 可 从 域 中 退出 。 
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图 5-39 输入 域 管理 员 账 户 和 密码 图 5-40 成 功 加 入 域 


加 如 图 5-41 所 示 ， 检 查 加 入 到 域 之 后 计算 机 的 名 称 ， 发 现 计算 机 名 称 后 自动 添加 了 域 后 级 。 
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图 5-41 计算 机 全 名 


5.2.6 将 Windows Server Core 操作 系统 加 入 域 或 退出 域 


1. 任务 


”查看 和 更 改 计算 机 名 称 。 
”更 改 IP 地 址 和 DNS。 


L1511 


@ Windows Server 2008 
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时。 将 计算 机 加 入 到 域 。 

2. 步骤 

Q@ 打开 安装 有 Windows Server Core 的 ProfileServer 虚拟 机 。 

@@ 以 管理 员 的 身份 登录 ProfileServer 虚拟 机 。 

@ 如 图 5-42 所 示 ， 输 入 hostname， 查 看 计算 机 名 称 。 

由 输入 netdom renamecomputer FileServer /newname:ProfileServer ， 更 改 计 算 机 名 称 为 
ProfileServer。 

回 如 图 5-43 所 示 ， 输 入 netsh interface ipv4 set address name=“ 本 地 连接 ” source=static 


addr=10.7.10.212 mask= 255.255.255.0 gateway=10.7.10.1， 更 改 本 地 连接 的 他 地 址 、 子 网 掩 码 和 


网 关 信 息 。 
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图 5-42 更 改 计算 机 名 称 图 5-43 更 改 IP 设置 


输入 netsh interface ipv4 set dnsserver “本 地 连接 ” static 10.7.10.12 primary。 

输入 shutdown /r/t 0， 重 启 系统 。 

以 本 地 管理 员 身 份 登录 到 ProfileServer。 

将 计算 机 加 入 域 ， 输 入 netdom join %computername% /domain:Ess.com /userd:administrator 
/passwordD:al! /REBoot:5。 

5s 后 自动 重启 


提示 : 参数 UserD， 输 入 域 用 户 。 
参数 PasswordD， 输 入 域 用 户 的 密码 。 


计算 机 加 入 域 后， 计算 机 账户 默认 在 Computers 目录 下 ， 如 图 5-44 所 示 。 

将 计算 机 退出 域 ， 输 入 netdom remove %computername% /domain:Ess.com 
/UserD:administrator /PasswordD:al! /REBoot:5。 

5s 后 自动 重启 。 


第 5 章 Windows Server 2008 活动 目录 


ET 


图 544 域 中 计算 机 账号 
5.3 设计 活动 目录 组 织 单位 


域 是 活动 目录 迪 辑 结构 的 核心 ， 可 以 在 活动 目录 中 根据 管理 的 方便 依据 公司 或 企业 的 组 织 结构 创建 组 
织 单位 。 

比如 ， 管 理 的 公司 位 于 北京 和 石家庄 两 个 城市 ， 公 司 有 两 个 部 门 一 一 研发 部 和 销售 部 ， 这 两 个 部 门 分 
布 在 两 个 城市 。 若 考虑 开 部 门 的 管理 方便 ， 可 以 优先 以 地 理 位 置 创 建 组 织 单位 ， 再 在 石家庄 和 北京 两 个 组 
织 单位 内 按 部 门 创建 子 组 织 单位 ， 如 图 5-45 所 示 。 

如 果 公司 网 络 和 计算 机 管理 是 以 部 门 划分 的 ， 这 样 就 较为 容易 授权 一 个 IT 人 员 管理 两 个 城市 的 研发 
部 ,授权 一 个 IT 人 员 管理 两 个 城市 的 销售 部 。 组 织 单位 的 创建 应 该 以 部 门 优 先 ， 再 以 地 理 位 置 创建 子 组 织 
单位 ， 如 图 5-46 所 示 。 


HN 上 中 人 可 呈 7 的 中 
如 果 您 的 IT 管理 是 优先 考 中 以 部 门 为 单位 
二 管理 的 ， 您 应 该 先 按 部 门 创建 组 织 单位 ， 
再 在 各 部 门 创建 以 地 理 位 首 为 单元 的 子 组 
积 单位 。 

这 样 您 就 可 以 授权 一 个 IT 人 员 负 责 北京 和 
石家庄 的 销售 部 ， 授 权 一 个 IT 人 员 负 责 北 
京 和 石家庄 的 研发 部 。 


根据 管理 的 需 委 优先 以 地 理 位 置 创建 组 
织 单元 


你 可 以 授权 石家庄 的 一 个 IT 人 员 管 理 石 
家 庄 的 研发 部 和 销售 部 

你 可 以 授权 北京 的 一 个 IT 人 员 管理 北京 
的 研发 部 和 销售 部 


图 5-45 ”以 地 理 位 置 创建 组 织 单 位 图 5-46 ”以 部 门 创建 组 织 单位 


5.3.1 创建 组 织 单位 


根据 公司 的 管理 需要 创建 基于 部 门 的 组 织 单位 。 
Q@ 选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 “Active Directory 用 户 和 计算 机 ”命令 ， 打 开 活动 
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目录 管理 工具 。 
加 如 图 5-47 所 示 ， 右 击 ESS.COM 选项 ， 在 弹出 的 快捷 菜单 中 选择 “新 建 ”一 “组 织 单位 ”命令 。 
图 如 图 5-48 所 示 ， 在 出 现 的 “新 建 对 象 -组 织 单位 ”对 话 框 中 ， 输 入 组 织 单位 的 名 称 ， 默 认 选 中 “ 防 


止 容器 被 意外 删除 ” 复 选 框 ， 单 击 “ 确 定 ” 按 钮 。 


图 5-47 创建 组 织 单位 图 5-48 输入 组 织 单位 名 称 
图 右 击 “销售 部 ”选项 ， 在 弹出 的 快捷 菜单 中 选择 “新 建 ”一 “组 织 单位 ”命令 ， 这 样 将 会 在 “ 销 
售 部 ”中 创建 子 组 织 单位 。 为 了 管理 起 来 有 条 理 ， 可 在 各 个 部 门 创建 “用 户 ” 和 “计算 机 ”组 织 
单位 。 创 建 结果 如 图 5-49 所 示 。 


图 5-49 组 织 单位 层次 结构 


5.3.2 ”将 计算 机 和 用 户 移动 到 组 织 单位 


计算 机 加 入 域 后 ， 计 算 机 账户 在 活动 目录 computers 目录 下 。 根 据 管理 的 需要 将 FileServer 和 
ProfileServer 移动 到 “服务 器 ”组 织 单元 。 将 Sales 计算 机 账户 移动 到 “销售 部 ”, 将 Research 移动 到 “ 研 


发 部 ”。 
@ 选择 “开始 ”一 “程序 ”一 
目录 管理 工具 。 


“管理 工具 ”一 “Active Directory 用 户 和 计算 机 ”命令 ， 打 开 活 动 
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回 选中 Computers 目录 下 的 FileServer， 按 Ctrl 键 ， 选 中 ProfileServer 计算 机 账户 ， 右 击 选中 的 
计算 机 账户 ， 在 弹出 的 快捷 菜单 中 选择 “移动 ”命令 ， 如 图 5-50 所 示 。 
@ 如 图 5-51 所 示 ， 在 出 现 的 “移动 ”对 话 框 中 ， 选 中 “服务 器 ”选项 ， 单 击 “ 确 定 ” 按 钮 。 


ET 
上 mi 
了 


图 5-50 移动 选 定 的 计算 机 5-51 选择 目标 组 织 单元 


S 提示 : 可 直接 将 选中 的 计算 机 账户 或 用 户 账户 拖 彼 到 其 他 的 组 织 单元 。 


将 Sales 计算 机 账户 拖 忠 到 “销售 部 ”组 织 单元 下 的 “计算 机 ”组 织 单元 中 。 将 Research 计算 机 账户 
拖 忠 到 “研发 部 ”组 织 单元 下 的 “计算 机 ”组 织 单元 中 。 


5.4 创建 和 管理 域 用 户 


域 用 户 账户 是 在 整个 域 中 的 用 户 账户 ， 存 储 在 域 控制 器 中 的 活动 目录 中 。 默 认可 以 在 加 入 域 的 计算 机 
上 登录 ， 由 域 控制 器 统一 验证 用 户 身份 ， 并 利用 它 访问 网 络 资源 ， 例 如 访问 其 他 计算 机 上 的 共享 文件 来 、 
共享 打印 机 等 资源 。 

当 用 户 利用 域 用 户 账 户 登录 时 ， 该 账户 数据 会 被 送 到 域 控制 器 ， 并 由 域 控制 器 检查 用 户 所 输入 的 账户 
名 和 密码 是 否 正 确 。 


5.4.1 创建 域 用 户 


Q@ 选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 “Active Directory 用 户 和 计算 机 ”命令 ， 打 开 活动 
目录 管理 工具 。 

@@ 如 图 5-52 所 示 ， 右 击 “ 销 售 部 ”组 织 单元 ， 在 弹出 的 快捷 菜单 中 选择 “新 建 ” 一 “用 户 ” 命 令 。 

@ 如 图 5-53 所 示 ， 在 出 现 的 “新 建 对 象 - 用 户 ” 对 话 框 ， 输 入 用 户 的 姓名 、 用 户 的 登录 主 名 、 用 户 

@ 


的 登录 名 。 
如 图 5-54 所 示 ， 输 入 用 户 的 密码 p@ssw0rd 和 确认 密码 p@ssw0rd， 单 击 “ 下 一 步 ”按钮 。 该 密 
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码 包含 了 字符 、 特 殊 符 号 和 数字 ， 能 够 满足 域 的 密码 策略 要 求 。 

回 单 击 “ 完 成 ”按钮 。 

如 图 5-55 所 示 ， 可 以 看 到 在 “销售 部 ”组 织 单元 的 “用 户 ” 子 组 织 单元 中 创建 了 “ 王 瑞 胜 ”用 户 
账户 。 

@ ”以 同样 的 方式 ， 在 “研发 部 ”组 织 单元 的 “用 户 ” 子 组 织 单元 中 ， 创 建 “ 韩 立 刚 ”用 户 账户 ， 登 
录 主 名 为 hanLG@Ess.com， 登 录 名 为 ESS\hanLG; 创建 “ 张 京 铃 ” 用 户 账户 ， 登 录 主 名 为 
ZhangJL@Ess.com， 登 录 名 为 ESS\zhangJL。 
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图 5-54 ”输入 用 户 密码 和 确认 密码 图 5-55 刚才 创建 的 用 户 


5.4.2 ” 域 用 户 登 录 的 方式 


以 下 演示 域 用 户 使 用 登录 名 或 登录 主 名 在 域 中 的 计算 机 上 登录 。 
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名 ”销售 部 的 域 用 户 账户 “ 王 瑞 胜 ”在 销售 部 的 计算 机 Sales 上 登录 。 


回 如 图 5-56 所 示 ， 默 认 显示 上 次 登录 的 账户 ， 单 击 “ 切 换 用 户 ”按钮 。 
@ 如 图 5-57 所 示 ， 单 击 “ 其 他 用 户 ” 按 钮 。 


ess\administrator 


3 


EW 


图 5-56 切换 用 户 图 5-57 ”以 其 他 用 户 登录 


@ ”如 图 5-58 所 示 ， 使 用 登录 名 登录 ， 输 入 ESS\wangRS 和 密码 pessw0rd， 单 击 国 按 钮 登录 。 
加 ”如 图 5-59 所 示 ， 使 用 登录 主 名 登录 ， 输 入 wangRS@Ess.com 和 密码 p@ssw0rd， 单 击 图 按钮 


图 5-58 以 登录 名 登录 图 5-59 以 登录 主 名 登录 


5.4.3 ” 重 设 域 用 户 密码 及 用 户 自己 更 改 密码 


如 果 用 户 忘记 了 自己 账户 的 密码 ， 管 理 员 可 以 重新 设置 用 户 密码 。 另 外 ， 用 户 也 可 以 自己 更 改 密码 。 
1. 任务 


于 ”管理 员 重 设 用 户 密码 。 
- 户 自己 更 改 密码 。 
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2. 步骤 


名 ”如 图 5-60 所 示 ， 右 击 用 户 账号 ， 在 弹出 的 快捷 菜单 中 选择 “ 重 置 密码 ”命令 。 
回 如 图 5-61 所 示 ， 输 入 新 密码 ， 如 果 想 让 用 户 自 己 管理 自己 的 密码 ， 则 选中 “用 户 下 次 登录 时 须 更 
改 密码 ” 复 选 框 。 


dom np Te CE Wdom pop 
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图 5-60 重 设 密码 图 5-61 输入 新 密码 和 确认 密码 


@ ”对 于 一 些 公 共 的 账户 或 者 服务 账户 ， 为 防止 个 别人 私自 更 改 密码 ， 造 成 其 他 用 户 不 能 登录 或 服务 
启动 失败 ， 可 以 双击 用 户 账户 ， 打 开 用 户 属性 对 话 框 ， 如 图 5-62 所 示 ， 设 置 成 用 户 不 能 更 改 的 密 
码 和 密码 永 不 过 期 。 


图 5-62 用 户 密码 控制 


@ 用户 登 录 到 域 中 的 计算 机 后 ， 按 Ctrl+AlttDel 组 合 键 ， 在 虚拟 机 中 按 Ctrl+Alt+Insert 组 合 键 。 
@ ”如 图 5-63 所 示 ， 单 击 “ 更 改 密码 ”按钮 。 
如 图 5-64 所 示 ， 输 入 旧 密码 ， 然 后 输入 新 密码 并 确认 新 密码 ， 单 击 希 按 钮 ， 更 改 密码 。 
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注意 : 默认 域 中 安全 策略 ， 和 要求 用 户 的 密码 至 少 使 用 1 天 ， 如 果 你 的 用 户 是 刚刚 创建 的 ， 你 使 用 上 面 的 
方法 更 改 密码 会 提示 “无 法 更 改 密码 。 为 新 密码 提供 的 值 不 符合 字符 域 的 长 度 、 复 杂 性 或 历史 要 求 ”。 
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图 5-63 更 改 密码 


设置 域 用 户 账户 的 登录 时 间 


图 5-64 输入 新 旧 密 码 


“登录 时 间 ” 用 来 设置 用 户 什么 时 间 可 以 登录 到 域 。 默 认为 用 户 可 以 在 任何 时 间 登 录 到 域 。 

中 ”如 图 5-65 所 示 ， 双 击 用 户 账户 ， 在 出 现 的 用 户 属性 对 话 框 中 ， 切 换 到 “账户 ”选项 卡 ， 单 击 “ 登 
录 时 间 ” 按 钮 。 

@ ”如 图 5-66 所 示 ， 可 以 指定 用 户 能 够 登录 到 域 的 时 间 段 ， 最 小 单位 为 小 时 。 
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图 5-65 用 户 属性 图 5-66 设置 登录 时 间 


如 果 用 户 登 录 没 有 在 指定 的 时 间 段 内 登录 ， 如 图 5-67 所 示 ， 将 会 出 现 “ 您 的 账户 有 时 间 限 制 ， 您 当前 
无 法 登录 ， 请 稍 后 再 试 ”的 提示 。 
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图 5-67 ”时间 限制 


5.4.5 ”设置 域 用 户 只 能 登录 到 特定 的 计算 机 
默认 域 用 户 可 以 登录 域 的 成 员 计算 机 中 的 任何 计算 机 ， 为 了 安全 起 见 ， 可 以 指定 域 用 户 能 够 登录 的 计 


算 机 。 
Q@@ ”双击 用 户 账户 ， 在 出 现 的 用 户 属性 对 话 框 中 ， 切 换 到 “帐户 ”选项 卡 ， 单 击 “ 登 录 到 ”按钮 ， 如 


图 5-68 所 示 ， 可 以 指定 用 户 能 够 登录 到 域 的 那些 计算 机 。 
@ ”指定 “ 王 瑞 胜 ”只 允许 在 销售 部 门 的 计算 机 Sales 上 登录 ， 如 图 5-69 所 示 。 
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图 5-69 指定 特定 的 计算 机 


图 5-68 指定 用 户 能 够 登录 到 的 计算 机 
图 如 图 5-70 所 示 ， 如 果 “ 王 瑞 胜 ”用 户 账户 在 研发 部 门 的 Research 计算 机 上 登录 ， 将 有 “您 的 帐 
户 配 置 为 阻止 您 使 用 该 计算 机 。 请 尝试 其 他 计算 机 ”的 提示 。 
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5-70 ”阻止 用 户 使 用 某 计算 机 


5.4.6 ”创建 新 的 用 户 登录 主 名 后 缀 


默认 用 户 的 登录 主 名 后 绥 为 域 的 名 字 ， 也 可 以 创建 新 的 域名 后 缀 ， 这 样 就 可 以 为 不 同 部 门 的 用 户 创 建 
不 同 的 登录 主 名 后 绥 了 。 
中 如 图 5-71 所 示 ， 选 择 “开始 ”一 “程序 ”一 “管理 工具 ”一 “Active Directory 域 和 信任 关系 ” 
命令 。 
@ 在 打开 的 “Active Directory 域 和 信任 关系 ”窗口 中 ， 如 图 5-72 所 示 ， 右 击 “Active Directory 域 
和 信任 关系 ”选项 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 。 
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图 5-71 打开 活动 目录 域 和 信任 关系 图 5-72 选择 属性 


图 如 图 5-73 所 示 ， 可 以 为 每 个 部 门 创建 不 同 的 登录 主 名 后 级 。 

@ 如 图 5-74 所 示 ， 再 次 打开 “Active Directory 用 户 和 计算 机 ”窗口 ， 双 击 销售 部 门 的 用 户 ,在 
户 属性 对 话 框 中 ， 切 换 到 “帐户 ”选项 卡 ， 选 中 @Sales.com 选项 ， 用 户 登 录 主 名 就 变 为 
wangRS@Sales.com 了 。 
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5-73 ”添加 后 组 图 5-74 为 用 户 指定 后 组 


5.4.7 ”设置 用 户 登录 主 目录 

用 户主 目录 可 以 让 域 用 户 访问 到 网 络 上 服务 器 上 的 共享 目录 。 域 用 户 在 登录 后 会 根据 用 户 账户 指定 的 
主 目录 ， 自 动 为 该 用 户 映射 一 个 网 络 驱动 器 。 

以 下 步骤 将 会 使 销售 部 门 的 用 户 的 主 目录 映射 到 服务 器 FileServer 上 的 一 个 共享 文件 夹 “ 公 共 空间 ”。 


Q@ 以 域 管理 员 的 用 户 账 户 登录 FileServer。 
@ 在 FileServer 上 创建 一 个 共享 文件 夹 “ 公 共 空间 ”， 如 图 5-75 所 示 ， 右 击 该 共享 文件 夹 ， 在 弹出 


的 快捷 菜单 中 选择 “共享 ”命令 。 
图 如 图 5-76 所 示 ， 在 出 现 的 “文件 共享 ”对 话 框 中 ， 选 中 Everyone 选项 ， 单 击 “ 添 加 ”按钮 。 
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图 5-76 添加 用 户 


图 5-75 ”共享 文件 夹 
图 右 击 Everyone 选项 ， 在 弹出 的 快捷 菜单 中 选择 “参与 者 ”命令 ， 单 击 “ 共 享 ” 按 钮 ， 如 图 5-77 


所 示 。 


© 注意 : “参与 者 ”的 权限 能 够 使 用 户 在 共享 的 文件 夹 中 添加 /修改 文件 或 文件 天。 


回 在 DCServer 服务 器 上 ， 打 开 “Active Directory 用 户 和 计算 机 ”管理 工具 ， 如 图 5-78 所 示 ， 同 
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时 选中 多 个 用 户 后 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 。 


ee ve me A ea rm 
le DAD suYe DSSS 


5-77 更改 共享 权限 图 5-78 打开 多 个 用 户 属性 
[a 提示 : 这 种 方式 可 以 同时 修改 多 个 用 户 的 属性 。 


在 多 个 用 户 属性 对 话 框 中 ， 如 图 5-79 所 示 ， 切 换 到 “配置 文件 ”选项 卡 。 选 中 “ 主 文件 夹 ” 复 选 
框 ， 选中 “连接 ” 单 选 按钮 ， 盘 符 为 Z， 位置 为 \\fileServer\ 公共 空间 \%username%， 单 击 “ 确 
定 ” 按 钮 。 


注意 : 其 中 %usermame% 是 参数 ， 会 自动 以 账户 的 登录 名 蔡 代 。 这 样 会 自动 在 “公共 空间 ”文件 天 中 自动 
以 用 户 的 登录 名 创建 一 个 文件 夹 。 


@ 使 用 “ 王 瑞 胜 ”账户 在 Sales 计算 机 上 登录 。 双 击 桌面 上 的 “计算 机 ”图 标 ， 能 够 看 到 自动 映射 
了 一 个 网 络 驱 动 器 ， 如 图 5-80 所 示 。 
Er 


me Wee oom A oom elp 
sn Sap sure THe 


图 5-79 指定 用 户主 文件 夹 图 5-80 查看 和 使 用 主 文件 夹 
5.4.8 ”使 用 保存 的 查询 
保存 的 查询 为 管理 员 提 供 了 一 种 快速 、 一 致 的 方法 ， 用 来 访问 要 对 其 执行 特定 任务 或 进行 监视 的 一 组 


【1l631 


公共 目录 对 象 。 保 存 的 查询 使 用 预定 义 的 LDAP 字符 串 仅 搜索 指定 的 域 分 区 ， 搜 索 的 范围 可 具体 到 单个 容 
器 对 象 。 还 可 以 创建 自 定义 保存 的 查询 ， 其 中 包含 LDAP 搜索 筛选 器 。 

可 以 保存 查询 以 搜索 禁用 的 用 户 或 计算 机 账户 、 上 
次 用 户 登录 以 后 的 天 数 、 具 有 不 过 期 密码 的 用 户 ， 以 及 Pr 
许多 其 他 常用 查询 。 当 执行 保存 的 查询 并 显示 出 所 需 对 rm 4 
象 之 后 ， 每 个 对 象 都 可 以 直接 通过 查询 结果 屏幕 进行 修 ER 
改 。 此 时 ， 可 以 选择 多 个 对 象 并 对 它们 执行 某 项 任务 。 | | 
例如 ， 可 使 用 拖 放 操作 将 两 个 或 多 个 显示 的 对 象 放 到 一 


个 组 中 。 
以 下 的 操作 将 演示 如 何 创 建 一 个 查询 ， 来 找到 销售 
部 的 用 户 账 户 。 
中 在 DCServer 上 , 打开 “Active Directory 用 户 oj | 基 辣 而 EC ES [ 


和 计算 机 ”管理 工具 。 
@ 如 图 5-81 所 示 ， 右 击 “ 保 存 的 查询 ”， 在 弹出 图 5-81 ”新建 查 询 

的 快捷 菜单 中 选择 “新 建 ” 一 “查询 ”命令 。 
@ 如 图 5-82 所 示 ， 在 “新 查询 ”对 话 框 中 ， 输 入 名 称 “ 销 售 部 员工 ”， 单 击 “ 定 义 查询 ”按钮 。 
@ 如 图 5-83 所 示 ， 在 出 现 的 “查找 用 户 、 联 系 人 及 组 ”对 话 框 中 ， 选 择 “用 户 、 联 系 人 及 组 ” 

选项 。 


图 5-82 输入 查询 名 称 图 5-83 选择 查询 类 型 


回 如 图 5-84 所 示 ， 指 定 查询 条 件 为 “部 门 ”。 
@ 如 图 5-85 所 示 ， 输 入 “销售 部 ”， 单 击 “ 添 加 ”按钮 ， 然 后 单 击 “ 确 定 ” 按 钮 。 


纺 提示 : 当然 你 还 可 添加 多 个 查询 条 件 。 


如 图 5-86 所 示 ， 会 自动 生成 查询 语句 ， 单 击 “确定 ”按钮 。 

如 图 5-87 所 示 ， 查 看 查询 的 结果 ， 现 在 能 够 看 到 两 个 用 户 账 户 。 

如 图 5-88 所 示 ， 在 “刘强 ”账户 部 门 属性 中 输入 “销售 部 ”， 单 击 “ 确 定 ” 按 钮 。 

如 图 5-89 所 示 ， 右 击 “ 销 售 部 员工 ”选项 ， 在 弹出 的 快捷 菜单 中 选择 “刷新 ”命令 ， 可 以 看 到 凡 


OQ@E@QA 
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是 用 户 账户 部 门 属性 是 “销售 部 ”的 ， 自 动 被 查找 出 来 。 


em we We Tem A edo ep 
和 
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图 5-88 将 用 户 指定 到 销售 部 图 5-89 查看 销售 部 的 用 户 
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5.5 用 户 配 置 文件 


用 户 配置 文件 是 使 计算 机 符合 所 需 的 外 观 和 工作 方式 的 设置 的 集合 ， 其 中 包括 桌面 背景 、 屏 幕 保护 程 
序 、 指 针 首 选项 、 声 音 设 置 及 其 他 功能 的 设置 。 用 户 配置 文件 可 以 确保 只 要 登录 到 Windows 便 会 使 用 个 
人 首选 项 。 

用 户 配 置 文件 与 用 于 登录 到 Windows 的 用 户 账户 不 同 。 每 个 用 户 账户 至 少 有 一 个 与 其 关联 的 用 户 配 
置 文件 > 

每 一 个 用 户 配 置 文件 都 以 Default 的 副本 开始 ， 这 是 存储 在 运行 Windows Server 2008 操作 系统 的 
所 有 计算 机 上 的 默认 用 户 配置 文件 。Default 中 的 NTuser.dat 文件 包含 Windows Server 2008 家 族 配 置 
设置 。“ 人 公共” 配置 文件 的 更 改 会 影响 到 所 有 用 户 。 


5.5.1 查看 用 户 配置 文件 和 公共 配置 文件 

下 面 介绍 如 何 查看 用 户 “Default” 配 置 文件 、“ 公 共 ” 文 件 夹 以 及 Research 计算 机 上 的 用 户 的 配置 
文件 。 

1. 任务 

和 ”查看 Default 配置 文件 。 

查看 配置 文件 结构 。 

了 解 公共 配置 文件 的 作用 。 
2. 步骤 
@@ Windows Server 2008 的 用 户 配置 文件 默认 在 c:\ 用 户 \ 目 录 下 。 
加 如 图 5-90 所 示 ， 打 开 “c:\ 用 户 ” 目 录 ， 单 击 “ 组 织 ”， 在 其 下 拉 菜 单 中 选择 “文件 夹 和 搜索 选 
@ 


项 ”命令 。 
如 图 5-91 所 示 ， 在 “文件 夹 选项 ”对 话 框 中， 切换 到 “查看 ”选项 卡 ， 选 择 “ 显 示 隐 藏 的 文件 和 
文件 夹 ” 单 选 按钮 ， 单 击 “ 确 定 ”按钮 。 


Te 
Me on Vw Te sct Wedoms 和 


mp 
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图 5-90 打开 文件 夹 选项 设置 图 5-91 显示 隐藏 的 文件 和 文件 夹 
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图 如 图 5-92 所 示 ， 此 时 能 够 显示 隐藏 的 Default 文件 夹 。 
加 用户 配置 文件 文件 夹 包 含 各 种 项 目 ， 包 括 桌 面 和 “开始 ”菜单 。 图 5-93 列 出 了 每 个 用 户 配置 文件 
中 的 文件 夹 。 


| 
sno BAD $33 


和 


图 5-92 默认 配置 文件 图 5-93 配置 文件 的 结构 


提示 : 每 个 用 户 配置 文件 还 使 用 包含 在 “公用 ”文件 夹 中 的 公用 程序 组 。 比 如， 打算 让 任何 使 用 这 台 计 
算 机 的 用 户 桌 面 上 都 有 访问 微软 站 点 的 快捷 方式 ， 则 可 以 在 “公用 ”文件 夹 中 的 “公用 桌面 ”中 创建 一 
个 快捷 方式 。 


如 图 5-94 所 示 ， 打 开 “ 公 用 ”文件 夹 中 的 “公用 桌面 ”， 右 击 空白 处 ， 在 弹出 的 快捷 菜单 中 选择 
“新 建 ”一 “快捷 方式 ”命令 。 

@ 如 图 5-95 所 示 ， 在 出 现 的 “创建 快捷 方式 ”对 话 框 中 ， 输 入 http://www.microsoft.com/china， 
单 击 “ 下 一 步 ”按钮 。 
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图 5-94 创建 快捷 方式 图 5-95 输入 网 址 


如 图 5-96 所 示 ， 在 出 现 的 对 话 框 中 ， 输 入 快捷 方式 名 称 “ 微 软 中 文 站 点 ”， 单 击 “ 完 成 ”按钮 。 
@ 如 图 5-97 所 示 ， 显 示 自 己 的 桌面 ， 发 现在 “公用 桌面 ”中 创建 的 快捷 方式 出 现在 自己 的 桌面 上 。 


Lt L673 


@ ws ET 


90: 
Ee 
| | 二 本 起 。 | LN jt 后面 十 DG & Er | [a Sb ww 
FEEL DE 久 呈 呈 四 9 
图 5-96 输入 快捷 方式 的 名 称 图 5-97 ”当前 用 户 桌 面 出 现 快捷 方式 


5.5.2 ”用 户 配置 文件 的 类 型 


1. 本 地 用 户 配置 文件 

当 一 个 用 户 第 一 次 登录 到 一 台 计 算 机 上 时 ， 创 建 的 用 户 配 置 文件 就 是 本 地 用 户 配 置 文件 。 一 台 计算 机 
上 可 以 有 多 个 本 地 用 户 配置 文件 ， 分 别 对 应 于 每 一 个 曾经 登录 过 该 计算 机 的 用 户 。 域 用 户 的 配置 文件 夹 的 
名 字 的 形式 为 “用 户 名 .域名 ”， 而 本 地 用 户 的 配置 文件 的 名 字 是 直接 以 用 户 命名 的 。 用 户 配置 文件 不 能 直 
接 被 编辑 。 要 想 修改 配置 文件 的 内 容 需 要 以 该 用 户 登录 ， 然 后 手动 修改 用 户 的 工作 环境 如 桌面 、“ 开 始 ” 
菜单 、 鼠 标 等 ， 系 统 会 自动 地 将 修改 后 的 配置 保存 到 用 户 配 置 文 件 中 。 

2. 漫游 用 户 配置 文件 

该 文件 只 适用 于 域 用 户 ， 域 用 户 才 有 可 能 在 不 同 的 计算 机 上 登录 。 

当 一 个 用 户 需要 经 常 在 其 他 计算 机 上 登录 ， 并 且 每 次 都 希望 使 用 相同 的 工作 环境 时 就 需要 使 用 漫游 用 
户 配置 文件 。 该 配置 文件 被 保存 在 网 络 中 的 某 台 服务 器 上 ， 并 且 当 用 户 更 改 了 其 工作 环境 后 ， 新 的 设置 也 
将 自动 保存 到 服务 器 上 的 配置 文件 中 ， 以 保证 其 在 任何 地 点 登录 都 能 使 用 相同 的 新 的 工作 环境 。 所 有 的 域 
日 户 账户 默认 使 用 的 是 该 类 型 的 用 户 配置 文件 。 该 文件 是 在 用 户 第 一 次 登录 时 由 系统 自动 创建 的 。 


3. 强制 性 用 户 配 置 文 件 


强制 性 用 户 配置 文件 不 保存 用 户 对 工作 环境 的 修改 ， 当 用 户 更 改 了 工作 环境 参数 之 后 退出 登录 再 重新 
登录 时 ， 工 作 环境 又 恢复 到 强制 用 户 配 置 文件 中 所 设 定 的 状态 。 当 需要 一 个 统一 的 工作 环境 时 该 文件 就 十 
分 有 用 。 该 文件 由 管理 员 控制 ， 可 以 是 本 地 的 也 可 以 是 漫游 的 用 户 配置 文件 ， 通 常 将 强制 性 用 户 配 置 文件 
保存 在 某 台 服务 器 上 ， 这 样 不 管用 户 从 哪 台 计算 机 上 登录 都 将 得 到 一 个 相同 且 不 能 更 改 的 工作 环境 。 因 此 
强制 性 用 户 配置 文件 有 时 也 被 称 为 强制 性 漫游 用 户 配置 文件 。 
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5.5.3 ”创建 漫游 用 户 配置 文件 

假设 “刘强 ”来 使 用 漫游 用 户 配置 文件 ,并且 将 这 个 用 户 的 漫游 用 户 配置 文件 存储 在 服务 器 FileServer 
上 的 共享 文 夹 Profiles 中 。 

1. 任务 


”为 漫游 式 配置 文件 创建 并 共享 文件 夹 。 

”为 用 户 指定 一 个 空 的 漫游 用 户 配 置 文 件 。 

2. 步骤 

中 如 图 5-98 所 示 ， 以 域 管理 员 的 身份 登录 FileServer 服务 器 ， 创 建 一 个 文件 夹 profiles， 右 击 该 文 
件 夹 ， 在 弹出 的 快捷 菜单 中 选择 “共享 ”命令 。 

@ 在 出 现 的 “选择 要 与 其 共享 的 网 络 上 的 用 户 ” 对 话 框 中 ， 选 择 “ 查 找 ” 选 项 。 

四 

@ 


在 出 现 的 “选择 用 户 组 ”对 话 框 中 ， 输 入 Domain Users， 单 击 “ 检 查 姓名 ”， 设 置 共享 权限 为 
Domain Users， 为 “参与 者 ”， 单 击 “ 共 享 ” 按 钮 ， 单 击 “ 完 成 ”按钮 。 

如 图 5-99 所 示 ， 在 DCServer 上 ， 打 开 “Active Directory 用 户 和 计算 机 ”窗口 ， 双 击 “ 刘 强 ” 用 
户 账 户 ， 在 用 户 属性 对 话 框 中 ， 切 换 到 “配置 文件 ”选项 卡 ， 输 入 
\\fileServer\profiles\%username9%。 


© 注意 其中，%username9%6 是 参数 ， 自 动 以 用 户 账户 登录 名 闪 换 。 
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图 5-98 为 漫游 式 配置 文件 共享 文件 夹 图 5-99 为 域 用 户 指定 配置 路 径 


@ ”使 用 “刘强 ”账户 登录 Research 计算 机 ， 将 计算 机 的 桌面 换 成 一 个 “刘强 ”文件 夹 中 的 图 片 ， 将 

开始 菜单 改 为 经 典 模式 ， 在 桌面 上 创建 一 个 记事 本 文件 “刘强 Research.txt”， 如 图 5-100 所 示 ， 
注销 计算 机 。 

@ 使 用 “刘强 ”账户 在 Sales 上 登录 ,可 以 看 到 开始 菜单 是 经 典 模式 , 桌面 上 有 “刘强 Research.txt” 
文件 。 
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注意 : 


国 该 桌面 背景 使 用 的 图 片 最 好 位 于 用 户 配置 文件 夹 中 的 目录 中 ， 比 如 “我 的 文档 ”中 的 “图 片 ” 文件 
夹 中 ; 否则 换 一 台 计 算 机 登录 没有 办 法 引用 该 图 片 。 
加 ”必须 在 Research 计算 机 上 注销 ， 因 为 在 注销 的 时 候 才 会 把 更 改 后 的 用 户 的 配置 文件 保存 到 服务 器 


FileServer 上 . 


加 ”用 户 的 环境 包括 鼠标 指针 左右 手 习惯 、 桌 面 背 景 图 片 、 映 射 的 网 络 驱动 器 、 连 接 的 网 络 打印 机 等 
设置 。 通 过 漫游 式 用 户 配置 文件 使 用 户 的 工作 环境 只 与 用 户 账户 有 关 ， 而 与 使 用 的 计算 机 无 关 。 


注意 : 来 面 上 的 “微软 中 文 站 点 ”没有 在 Sales 的 计算 机 桌面 上 出 现 , 这 是 因为 这 个 快捷 方式 位 于 Research 
计算 机 “公用 ”文件 夹 的 “公用 桌面 ”文件 夹 中 ， 如 图 5-101 所 示 。 


区 二 让 


而 本 ms 
EEL 
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图 5-100 第 一 次 登录 后 更 改 桌 面 环 境 


漫游 配置 文件 应 用 过 程 
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图 5-101 换 一 台 计算 机 登录 环境 漫游 


漫游 用 户 配置 文件 的 用 户 在 登录 域 时 ， 其 计算 机 会 读 取 存储 在 服务 器 端的 漫游 用 户 配置 文件 ， 以 便 根 
据 该 配置 文件 来 决定 用 户 的 桌面 设置 。 而 用 户 注销 时 ， 用 户 的 桌面 设置 会 被 同时 保存 在 漫游 用 户 配置 文件 


与 本 地 


用 户 配 置 文件 内 。 


如 果 用 户 在 登录 域 时 ， 因 故 无 法 访问 服务 器 内 的 漫游 用 户 配 置 文件 ， 例 如 网 络 断 线 、 权 限 不 够 ， 则 会 


出 现 如 


F170 


图 5-102 所 示 的 警告 信息 。 


如 果 该 用 户 是 第 一 次 登录 这 台 计 算 机 , 则 因为 该 计算 机 内 当前 还 没有 该 用 户 的 本 地 用 户 配 置 文件 ， 
因此 系统 会 以 Default 配置 文件 的 内 容 设置 用 户 环境 。 当 用 户 注销 时 ， 其 桌面 设置 既 不 会 被 存储 
到 服务 器 上 的 漫游 用 户 配 置 文件 内 ， 也 不 会 被 存储 在 本 地 用 户 配 置 文件 内 。 

如 果 该 用 户 以 前 曾经 登录 过 这 台 计 算 机 ， 则 将 使 用 他 在 该 计算 机 内 的 本 地 用 户 配置 文件 。 当 用 户 
注销 时 ， 其 桌面 设置 并 不 会 被 存储 到 服务 器 上 的 漫游 用 户 配置 文件 内 ， 只 会 被 存储 到 本 地 用 户 配 
置 文件 内 。 而 用 户 下 一 次 登录 域 时 ， 即 使 网 络 断 线 、 权 限 不 够 等 问题 已 经 解决 ， 也 就 是 已 经 可 以 


正常 访问 服务 器 上 的 漫游 用 户 配 置 文件 ， 但 是 


于 本 地 用 户 配 置 文件 的 数据 比较 新 ， 因 此 仍然 会 


使 用 本 地 用 户 配 置 文件 。 不 过 注销 时 ， 就 可 以 正常 地 将 桌面 设置 存储 到 漫游 用 户 配置 文件 内 了 。 
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图 5-102 用 户 配 置 文 件 没有 正确 加 载 


5.6 在 活动 目录 中 使 用 组 


5.6.1 组 的 类 型 
如 图 5-103 所 示 ， 活 动 目录 中 组 有 两 种 类 型 : 安全 组 和 通讯 组 。 
新 建 对 象 - 组 四 
号。 量 于 上 oa 有 户 
组 名 内 - 
组 名 Windors 2000 以 前 版 本 ) o): 
组 作用 域 
个 本 地 域 ) 安全 组 
了 区 个 通讯 组 四 
福 通用 中 
aE |[ | 
图 5-103 组 的 类 型 
1. 安全 组 


安全 组 有 安全 标识 (SID)， 能 够 给 其 授权 用 户 访问 本 地 资源 或 网 络 资源 。 既 能 授权 访问 资源 ， 也 可 以 利 
其 群发 电子 邮件 。 

2. 通讯 组 

通 迅 组 没有 安全 标识 (SID)， 不 能 授权 其 访问 资源 ， 只 能 用 来 群发 电子 邮件 。 如 果 你 安装 了 微软 的 邮件 
系统 Exchange， 可 以 创建 一 些 专门 群发 电子 邮件 的 通讯 组 。 这样 你 就 可 以 在 收 件 人 处 输入 通讯 组 的 电子 邮 
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件 地 址 ， 邮 件 服务 器 会 读 取 通 迅 组 的 成 员 ， 将 电子 邮件 发 送 到 该 组 的 所 有 成 员 。 


5.6.2 ”组 的 作用 域 


活动 目录 中 组 按照 能 够 授权 的 范围 ， 分 为 本 地 域 组 、 全 


局 组 和 通用 组 ， 如 图 5-104 所 示 。 下 面 将 分 别 介绍 创建 这 几 。。 ”Emm 3 
类 组 的 目的 。 Ee 
1. 本 地 域 组 和 
组 名 Qiindvms 2000 以 前 版 本 ) 0 
本 地 域 组 代表 的 是 对 某 种 资源 的 访问 权限 。 
作用 域 “站 类 型 
创建 本 地 域 组 的 目的 是 针对 某 种 资源 的 访问 情况 而 创 ea 
建 的 。 比 如 在 网 络 上 有 一 个 激光 打印 机 ， 针 对 该 打印 机 的 使 。 cam 
情况 ， 可 以 创建 一 个 “激光 打印 机 使 用 者 ”本 地 域 组 ， 然 


后 授权 该 组 使 用 该 打印 机 。 以 后 哪个 用 户 或 全 局 组 需要 使 用 
打印 机 ， 可 直接 将 用 户 或 组 添加 到 “激光 打印 机 使 用 者 ”， 图 5-104 ”组 的 作用 域 
就 等 于 授权 使 用 打印 机 了 。 可 以 针对 FileServe 服务 器 上 “ 公 
共 空间 ”文件 夹 创建 一 个 “公共 空间 访问 者 ”本 地 域 组 ， 然 后 授予 该 “公共 空间 访问 者 ”对 “公共 空间 ” 
的 读 / 写 权限 。 

自己 创建 的 本 地 域 组 ， 可 以 在 授权 访问 本 域 计 算 机 上 的 资源 ， 它 代表 的 是 访问 资源 的 权限 ; 其 成 员 可 
以 是 本 域 的 用 户 、 组 或 其 他 域 的 用 户 组 ， 只 能 授权 其 访问 本 域 资源 ， 其 他 域 中 的 资源 不 能 授权 其 访问 。 
2. 全 局 组 


全 局 组 代表 的 是 同类 用 户 身份 的 用 户 账户 。 

创建 全 局 组 是 为 了 合并 工作 职责 相似 的 用 户 账户 。 比 如 为 了 合并 研发 部 的 员工 ， 可 以 创建 一 个 “研发 
部 员工 ”全 局 组 ， 为 了 合并 销售 部 的 员工 ， 可 以 创建 一 个 “销售 部 员工 ”的 全 局 组 ， 当 然 如 果 想 合并 部 门 
经 理 的 用 户 账户 ， 你 可 以 创建 “研发 部 经 理 ” 全 局 组 、“ 销 售 部 经 理 ” 全 局 组 。 

只 能 将 本 域 的 用 户 和 组 添加 到 全 局 组 。 在 多 域 环境 中 不 能 合并 其 他 域 中 的 用 户 。 

能 够 授权 访问 整个 域 中 的 资源 ， 在 多 域 环境 中 其 他 域 的 资源 也 能 授权 其 访问 。 

3. 通用 组 

和 全 局 组 的 作用 一 样 ， 目 的 是 根据 用 户 的 职责 合并 用 户 。 

与 全 局 组 不 同 的 是 ， 在 多 域 环境 中 它 能 够 合并 其 他 域 中 的 域 用 户 账户 ， 比 如 可 以 把 两 个 域 中 的 经 理 账 
户 添加 到 一 个 通用 组 。 


在 多 域 环境 中 ， 可 以 在 任何 域 中 为 其 授权 。 


5.6.3 ”在 域 环境 中 使 用 组 的 策略 


将 用 户 账户 (User Acounts) 添 加 到 全 局 组 (Global Group)， 将 用 户 账户 合 六 
将 为 本 地 域 组 (Domain Local Group) 授 权 (Permission) 对 某 资 源 的 访问 。 
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授权 的 过 程 就 变 为 将 全 局 组 (Global Group) 添 加 到 本 地 域 组 (Domain Local Group) 的 过 程 。 


图 5-105 ”使 用 组 的 策略 
总 结 


在 单 域 中 使 用 组 的 策略 是 A 一 G 一 DL 一 P 策略 ， 如 图 5-105 所 示 。 如 果 域 中 的 用 户 账户 不 多 ， 则 可 以 
直接 授权 用 户 或 全 局 组 访问 某 资 源 。 如 果 用 户 账 户 较 多 ， 最 好 使 用 推荐 的 A 一 G 一 DL 一 P 策略 ， 调 理 清晰 。 

在 多 域 环境 中 使 用 组 的 策略 是 A 一 G 一 U 一 DL 一 P 策略 。U 代表 (Universal Group)， 即 将 用 户 账户 添 
加 到 本 域 的 全 局 组 ， 然 后 将 各 个 域 的 全 局 组 添加 到 通用 组 ， 将 通用 组 添加 到 本 地 域 组 ， 为 本 地 组 授权 。 


5.6.4 ”内 置 的 本 地 域 组 


在 Windows Server 2008 域 控 制 器 的 活动 目录 中 ， 系 统 内 置 了 一 些 本 地 域 组 ， 这 些 组 本 身 己 经 被 赋予 
一 些 权 限 与 权利 ， 以 便 让 其 具备 管理 整个 域 或 活动 目录 的 能 力 。 只 要 将 用 户 或 组 账户 加 入 到 这 些 内 置 的 本 
地 域 组 中 ， 这 些 账户 也 将 具有 相同 的 权利 与 权限 。 
这 些 内 置 的 本 地 域 组 位 于 活动 目录 的 Builtin 容器 内 ， | me wo We toon eee weeom wp 
如 图 5-106 所 示 。 下 面 列 出 几 个 较 常用 的 本 地 域 组 。 一 rr 一 
于 “Account Operators 成 员 可 以 管理 域 用 户 和 组 账 
户 ， 系 统 默认 他 们 可 以 在 任何 一 个 容器 与 组 织 单 
元 内 (但 是 Builtin 容器 与 Domain Controller 组 织 
单位 除外 ) 新 建 、 删 除 、 更 改 用 户 账户 、 组 账户 、 
计算 机 账户 。 但 他 们 无 法 更 改 或 删除 
Administrators 与 Domain Admins 组 的 成 员 。 
于 Administrators: 属于 该 Administrators 本 地 域 
组 中 的 用 户 都 具备 系统 管理 员 的 权限 ， 他 们 拥有 ,| 
对 整个 域 控制 器 最 大 的 控制 权 ， 可 以 执行 整个 活 人 
动 目录 的 管理 任务 。 内 置 的 管理 员 上 账户 
Administrator 就 是 该 本 地 域 组 的 成 员 ， 而 且 无 法 图 5-106 内置 的 本 地 域 组 
将 其 从 该 组 中 删除 。 该 Administrators 组 默认 的 
成 员 包含 Administrator、Domain Admins 全 局 组 、Enterprice Admins 全 局 组 等 。 


i 
这 和 
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Backup Operators: Backup Operators 本 地 域 组 的 成 员 可 以 备份 与 还 原 域 控制 器 中 的 文件 夹 与 文 
件 。Backup Operators 的 成 员 还 可 以 关闭 域 控制 器 。 

Guests: 该 本 地 域 组 是 供 没有 用 户 账户 ， 但 是 需要 访问 资源 的 用 户 使 用 。 该 组 的 成 员 无 法 永久 改 
变 其 桌面 的 工作 环境 。 该 组 默认 的 成 员 为 用 户 账户 Guest 与 全 局 组 Domain Guest。 

Network Configuration Operators: 该 组 内 的 用 户 , 可 以 在 域 控制 器 上 执行 一 般 的 网 络 设置 操作 ， 
例如 ， 更 改 瑟 地 址 ， 但 是 不 可 以 安装 /删除 驱动 程序 与 服务 ， 也 不 可 以 执行 与 网 络 服务 器 设置 有 
关 的 任务 ， 例 如 ， 对 DNS 服务 器 、DHCP 服务 器 进行 设置 。 

Pre-Windows 2000 Compatible Access: 该 组 主要 是 为 了 与 Windows NT 4.0 计算 机 兼容 。 其 成 
员 可 以 读 取 Windows Server 2008 域 中 的 所 有 用 户 与 组 账户 。 默 认 的 成 员 为 特殊 组 Authenticated 
Users。 只 有 在 用 户 所 使 用 的 计算 机 是 Windows NT 4.0 或 更 旧 的 系统 时 , 才 将 用 户 加 入 到 该 组 中 。 
Print Operators 成 员 可 以 创建 、 停 止 或 管理 在 域 控制 器 上 的 共享 打印 机 ， 也 可 以 关闭 计算 机 。 
Remote Desktop Users: 此 组 中 的 成 员 被 授予 远程 登录 的 权限 ， 比 如 使 用 其 他 计算 机 通过 远程 桌 
面 或 终端 服务 连接 到 域 控制 器 登录 。 

Server Operators 成 员 可 以 创建 、 管 理 、 删 除 域 控制 器 上 共享 文件 夹 与 打印 机 ， 备 份 与 还 原 域 控 
制 器 内 的 文件 ， 锁 定 与 解 开 域 控制 器 ， 将 域 控制 器 上 的 硬盘 格式 化 ， 更 改 域 控制 器 的 系统 时 间 ， 
关闭 域 控制 器 等 。 

Users: 该 Users 本 地 域 组 的 成 员 拥 有 一 些 基本 的 权限 ,例如 运行 程序 ， 但 是 他 们 不 能 修改 操作 系 
统 的 设置 ， 不 能 更 改 其 他 用 户 的 数据 ， 不 能 关闭 服务 器 级 的 计算 机 。 该 组 默认 的 成 员 为 Domain 
Users 全 局 组 。 


5.6.5 ”内 置 的 全 局 组 


当 创 建 一 个 域 时 ， 系 统 会 在 活动 目录 中 创建 一 些 内 置 


的 全 局 组 。 这 些 全 局 组 本 身 并 没有 任何 权限 与 权利 ， 但 是 一 一 一 一 一 一 
可 以 通过 将 其 加 入 到 具备 权利 或 权限 的 本 地 域 组 ， 或 者 直 二 
接 为 全 局 组 指派 权限 或 权利 。 

这 些 内 置 的 全 局 组 位 于 Users 容器 内 。 下 面 列 出 几 个 
较 常见 的 全 局 组 ， 如 图 5-107 所 示 。 
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Domain Admins: 该 域内 的 成 员 计算 机 会 自动 将 
该 组 加 入 到 其 Administrators 组 中 ， 因 此 
Domain Admins 这 个 全 局 组 内 的 每 个 成 员 都 
具备 系统 管理 员 的 权限 。 该 组 默认 的 成 员 为 域 用 
户 Administrators。 : 
Domain Computers: 所 有 加 入 该 域 的 计算 机 都 上 
被 自动 加 入 到 该 组 内 。 
Domain Controllers: 域内 所 有 域 控制 器 都 被 自 图 5-107 ”内置 的 全 局 组 

动 加 入 到 该 组 内 。 

Domain Users: 域内 的 成 员 计 算 机 会 自动 将 该 组 加 入 到 其 Users 组 内 。 该 组 默认 的 成 员 为 域 用 户 
Administrator， 而 后 ， 所 有 添加 的 域 用 户 账户 都 自动 属于 该 Domain Users 全 局 组 。 
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于 Domain Guests: Windows Server 2008 会 自动 将 该 组 加 入 到 Guest 本 地 域 组 内 。 该 组 默认 的 成 
员 为 用 户 账户 Guest。 

和 ”Enterprice Admins: 该 组 只 存在 于 域 整理 目录 林 的 根 域 中 ， 其 成 员 具 有 管理 整个 目录 林内 的 所 有 
域 的 权利 。 

时。 Schema Admins: 该 组 只 存在 于 域 整理 目录 林 的 根 域 中 ， 其 成 员 具 备 管理 架构 的 权利 。 

和 ”Group Policy Creator Owners: 该 组 中 的 成 员 可 以 修改 域 的 组 策略 。 

和 ”Read-only Domain Controllers: 此 组 中 的 成 员 是 域 中 只 读 域 控制 器 。 


5.6.6 示例 : 在 域 中 使 用 组 简化 授权 


在 单 域 环境 中 使 用 A 一 G 一 DL 一 P 授权 策略 。 
以 下 操作 将 创建 两 个 全 局 组 “研发 人 员 ” 和 “销售 人 员 ” 即 分 别 合并 研发 部 门 和 销售 部 门 的 用 户 账户 ， 
再 创建 一 个 “公共 空间 访问 组 ”本 地 域 组 ， 并 授予 其 访问 Research 计算 机 上 的 “公共 空间 ”文件 夹 的 访问 
和 修改 权限 。 以 后 如 果 研 发 人 员 或 销售 人 员 需 要 访问 “公共 空间 ”文件 夹 ， 只 需 将 其 加 入 到 “公共 空间 访 
问 组 ” 即 可 。 这 样 授权 某 类 人 和 群 访问 资源 就 变 成 了 将 用 户 添加 到 本 地 域 组 的 过 程 。 
@@ 登录 DCServer， 打 开 “Active Directory 用 户 和 计算 机 ”窗口 。 
@ ”如 图 5-108 所 示 ， 右 击 “ 研 发 部 ” 的“ 用户” 组 织 单元 ,在 弹出 的 快捷 菜单 中 选择 “新 建 ” 一 “组 ” 
命令 。 
图 如 图 5-109 所 示 ， 在 出 现 的 “新 建 对 象 -组 ”对 话 框 中 ， 输 入 组 的 名 称 “ 研 发 人 员 ”， 组 的 类 型 选 
择 “ 安 全 组 ”， 单 击 “ 确 定 ” 按 钮 。 


Mie dt View VM Toam ME Wndows nep Fe dn View VM Team ACE Windows map 
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图 5-108 创建 全 局 组 图 5-109 指定 组 的 类 型 和 作用 域 以 及 名 称 
@ 如 图 5-110 所 示 ， 选 中 研发 部 门 的 用 户 账户 ， 右 击 选 中 的 用 户 ， 在 弹出 的 快捷 菜单 中 选择 “添加 
到 组 ”命令 。 


回 如 图 5-111 所 示 ， 在 出 现 的 对 话 框 中 ， 输 入 “研发 人 员 ”， 单 击 “ 确 定 ” 按 钮 。 
按照 以 上 步 又， 创建“ 销售 人 员 ” 全 局 组 。 将 销售 部 的 用 户 账户 添加 到 “销售 人 员 ” 组 。 
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图 5-110 ” 选 定 用 户 图 5-111 将 用 户 添 加 到 全 局 组 


如 图 5-112 所 示 ， 创 建 一 个 本 地 域 组 “公共 空间 访问 组 ”。 
如 图 5-113 所 示 ， 以 域 管理 员 身份 登录 Research 计算 机 ， 右 击 C 盘 下 的 “公共 空间 ”， 在 弹出 的 
快捷 菜单 中 选择 “属性 ”命令 。 切 换 到 “安全 ”选项 卡 ， 单 击 “ 编 辑 ” 按 钮 。 
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图 5-112 创建 本 地 域 组 图 5-113 ”授权 对 共享 文件 夹 的 访问 
@ 如 图 5-114 所 示 ， 在 出 现 的 对 话 框 中 ， 输 入 “公共 空间 访问 组 ”， 单 击 “ 检 查 名 称 ” 按 钮 。 单 击 
“确定 ”按钮 。 


如 图 5-115 所 示 ， 授 予 其 修改 、 读 取 和 执行 、 列 出 文件 夹 目录 和 读 取 的 权限 。 
@ 如 图 5-116 所 示 ， 在 DCServer 上 ， 将 “销售 人 员 ” 全 局 组 添加 到 “公共 空间 访问 组 ”， 就 等 于 
授予 销售 人 员 访问 公 共 空间 的 权限 。 
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ao ep 
LIL ECT: ls] -| 


图 5-116 将 全 局 组 添加 到 本 地 域 组 


提示 : 现在 授权 用 户 访问 “公共 空间 ”文件 夹 的 过 程 ， 就 变 成 了 将 用 户 或 组 加 入 “公共 空间 访问 组 ”的 
过 程 ， 省 去 了 步骤 7~9 的 操作 ， 使 得 授权 过 程 简化 ， 这 就 是 使 用 A 一 G 一 DL 一 P 策 略 的 好 处 。 
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NTFS 是 Windows NT 操作 系统 使 用 的 文件 系 
统 , Windows 2000、Windows 2003、Windows 2008、 
Windows XP 及 Vista 都 能 创建 NTFS 分 区 。 

NTFS 分 区 与 FAT32 分 区 相 比 有 较 大 的 优势 ， 本 
章 将 基于 此 展开 内 容 。 


全 关键 词 


NTFS 分 区 和 FAT32 分 区 的 区 别 
将 FAT32 分 区 转化 成 NTFS 分 区 
利用 NTFS 权限 

利用 特殊 的 NTFS 权限 

利用 EFS 保护 数据 安全 

在 NTFS 分 区 上 数据 

配置 NTFS 分 区 上 的 磁盘 限额 
配置 卷 影 副 本 


@ Windows Server 2008 下 王 亏 三 于 三。 


6.1 FAT32 和 NTFS 


6.1.1 FAT32 


FAT32 实际 上 是 文件 分 区 表 采 用 的 一 种 格式 , 它 是 相对 于 FAT16 而 言 的 。 众 所 周知 , DOS 和 Windows 
95 采用 的 都 是 FAT16 格式 。 那 么 为 什么 一 定 要 推出 FAT32 呢 ? 这 主要 是 由 其 自身 的 优越 性 所 决定 的 。 
首先 ， 它 可 以 大 大 地 节约 磁盘 空间 。 文 件 在 磁盘 上 是 以 马 的 方式 存放 的 ， 艇 里 存放 了 一 个 文件 后 就 不 
再 存放 另外 的 文件 。 假如 一 个 磁盘 的 分 区 大 小 为 512MB, 基于 FAT16 系统 的 艇 的 大 小 为 SKB, 而 FAT32 
系统 的 艇 的 大 小 仅 为 4KB, 那么 , 存放 一 个 3KB 的 文件 , FAT16 系统 就 会 有 5KB 的 空间 被 浪费 , 而 FAT32 
浪费 的 则 会 少 一 些 。 如 果 分 区 达到 1GB，FAT16 的 簇 的 大 小 为 16KB， 而 FAT32 还 是 4KB， 节 省 的 空间 也 
就 更 多 了 。 
其 次 , 在 推出 FAT32 文件 系统 之 前 , 通常 PC 使 用 的 文件 系统 是 FAT16。 像 基于 MS-DOS、Windows 
95 等 系统 都 采用 了 FAT16 文件 系统 。 在 Windows 9x 下 ，FAT16 支持 的 分 区 最 大 为 2GB。 我 们 知道 计算 
机 将 信息 保存 在 硬盘 上 称 为 “ 簇 ”的 区 域内 。 使 用 的 簇 越 小 ， 存 储 效 率 就 越 高 。 在 FAT16 的 情况 下 ， 分 区 
越 大 簇 就 相应 的 要 增 大 ， 存 储 效率 就 越 低 ， 势 必 造 成 存储 空间 的 浪费 。 并 且 随 着 计算 机 硬件 和 应 用 水 平 的 
不 断 提高 , FAT16 文件 系统 已 不 能 很 好 地 适应 系统 的 要 求 。 在 这 种 情况 下 , 推出 了 增强 的 文件 系统 FAT32。 
与 FAT16 相 比 ，FAT32 主要 具有 以 下 优点 。 
里 ”可 以 支持 的 磁盘 大 小 达到 2TB(2048GB)， 但 是 不 能 支持 小 于 512MB 的 分 区 。 基 于 FAT32 的 Win 
2000 可 以 支持 的 分 区 最 大 为 32GB; 而 基于 FAT16 的 Windows 2000 支持 的 分 区 最 大 为 4GB。 
”由 于 采用 了 更 小 的 徐 ， FAT32 文件 系统 可 以 更 有 效率 地 保存 信息 。 如 两 个 分 区 大 小 都 为 2GB， 一 
个 分 区 采用 FAT16 文件 系统 ， 另 一 个 分 区 采用 FAT32 文件 系统 ， 采 用 FAT16 的 分 区 的 簇 大 小 为 
32KB， 而 FAT32 分 区 的 马上 只 有 4KB， 这 样 FAT32 就 比 FAT16 的 存储 效率 要 高 很 多 。 通 常情 况 
下 可 以 提高 15%。 
至 FAT32 文件 系统 可 以 重新 定位 根 目录 和 使 用 FAT 的 备份 副本 。 另 外 ，FAT32 分 区 的 启动 记录 被 
包含 在 一 个 含有 关键 数据 的 结构 中 ， 减 少 了 计算 机 系统 崩溃 的 可 能 性 。 


6.1.2 NTFS 


NTFS 是 Windows NT 操作 环境 和 Windows NT 高 级 服务 器 网 络 操作 系统 环境 的 文件 系统 。 NTFS 
的 目标 是 : 提供 可 靠 性 ， 通 过 可 恢复 能 力 (事件 跟踪 ) 和 热 定 位 的 容错 特征 来 实现 ; 增加 功能 性 的 一 个 平台 ; 
对 POSIX 需求 的 支持 ， 消 除 FAT 和 HPFS(High Performance File System 是 微软 为 OS/2 1.2 设计 的 )， 
支持 局 域 网 管理 的 文件 服务 器 。 

NTEFS 提供 长 文件 名 、 数 据 保护 和 恢复 ， 并 通过 目录 和 文件 许可 实现 安全 性 。NTFS 支持 大 硬盘 和 在 
多 个 硬盘 上 存储 文件 ( 称 为 跨越 分 区 )。 例如 , 一 个 大 公司 的 数据 库 可 能 大 得 必须 跨越 不 同 的 硬盘 ,NTFS 提 
供 内 置 安全 性 特征 , 它 控制 文件 的 隶属 关系 和 访问 。 从 DOS 或 其 他 操作 系统 上 不 能 直接 访问 NTFS 分 区 
上 的 文件 如果 要 在 DOS 下 读 / 写 NTFS 分 区 文件 的 话 , 则 可 以 借助 第 三 方 软件 ; 至 今 (2007 年 5 月 ) 在 Linux 
下 一 般 只 能 读 取 而 不 能 写 入 NTFS 分 区 文件 。 这 是 Windows NT 安全 性 系统 的 一 部 分 ， 但 是 ， 只 有 在 使 
NTFS 时 才 是 这 样 的 。 
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NTEFS 允许 文件 名 的 长 度 可 达 256 个 字符 。 虽然 DOS 用 户 不 能 访问 NTFS 分 区 , 但 是 NTFS 文件 
可 以 复制 到 DOS 分 区 。 每 个 NTFS 文件 都 包含 一 个 可 被 DOS 文件 名 格式 认可 的 DOS 可 读 文 件 名 。 
该 文件 名 是 NTFS 从 长 文件 名 的 开始 字符 中 产生 的 。 

与 FAT32 分 区 相 比 NTFS 分 区 有 以 下 优点 。 

和 ”NTFS 权限 。 

加 密 文件 系统 (EFS)。 
磁盘 压缩 。 
磁盘 限额 。 
卷 影 副本 。 


6.2 将 FAT32 分 区 转化 成 NTFS 分 区 


将 FAT32 文件 分 区 转化 成 NTFS 分 区 数据 不 会 丢失 。 如 果 转 化 的 分 区 是 系统 分 区 或 虚拟 内 存 使 用 的 磁 
杠 分 区 ， 需 要 重启 才能 转化 。 下 面 在 FileServer 上 的 操作 将 会 创建 一 个 FAT32 的 磁盘 分 区 ， 然 后 将 其 转化 
成 NTFS 分 区 。 
@ 在 文件 服务 器 FileServer 计算 机 上 ， 以 管理 员 的 身份 登录 ， 打 开 “ 服 务 器 管理 器 ”窗口 。 
@ 展开 “存储 ”一 “磁盘 管理 ”节点 。 如 图 6-1 所 示 ， 右 击 未 分 配 的 磁盘 空间 ， 在 弹出 的 快捷 菜 
单 中 选择 “新 建 简单 卷 ”命令 。 
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图 6-1 创建 简单 卷 

图 在 出 现 的 向 导 中 ， 单 击 “ 下 一 步 ”按钮 。 

@ 在 出 现 的 “指定 卷 大 小 ”界面 中 ， 如 图 6-2 所 示 ， 输 入 卷 的 大 小 ， 默 认 是 剩余 大 小 ， 单 击 “ 下 一 
步 ” 按 钮 。 

回 如 图 6-3 所 示 ， 在 出 现 的 “分 配 驱动 器 号 和 路 径 ” 界 面 中 ， 指 定 驱 动 器 号 ， 单 击 “ 下 一 步 ” 
按钮 。 

选中 “ 按 下 列 设置 格式 化 这 个 卷 ” 单 选 按钮 ， 文 件 系统 选择 FAT32， 选 中 “执行 快速 格式 化 ” 复 
选 框 ， 如 图 6-4 所 示 。 
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CEL ED 
图 6-2 指定 卷 的 大 小 
@ 完成 新 建 简单 卷 向 导 。 


图 6-3 指定 盘 符 


如 图 6-5 所 示 ， 可 以 通过 磁盘 管理 和 磁盘 属性 查看 磁盘 的 文件 系统 。 
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图 6-4 选择 文件 系统 
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图 6-5 查看 文件 系统 


@ 如 图 6-6 所 示 ， 也 可 以 通过 卷 的 属性 查看 卷 的 文件 系统 。 


如 图 6-7 所 示 , 在 命令 行 输入 以 下 命令 将 其 转化 成 NTFS 分 区 。 输入 convert e:/fs:ntfs 和 卷 标 “新 


加 卷 ”， 按 Enter 键 。 


ET EE 


© 注意 ， 转换 系统 卷 ， 需 要 重启 ， 在 启动 时 转化 。 如 果 要 转化 的 卷 有 虚拟 内 存 ， 也 需要 重启 。 这 种 转化 数 
据 不 会 丢失 。 不 能 从 NTFS 转化 成 FAT32， 可 以 使 用 FAT32 文件 系统 格式 化 NTFS 分 区 ， 这 种 转化 数据 


会 丢失 。 


@@ 如 图 6-8 所 示 ， 转 化 完成 后 从 磁盘 管理 器 看 到 EE 卷 已 经 转化 成 了 NTFS 分 区 。 
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图 6-6 查看 卷 的 文件 系统 
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图 6-8 查看 文件 系统 


6.3 NTFS 权限 


存储 在 NTFS 分 区 上 的 文件 和 文件 夹 对 用 户 的 访问 有 安全 控制 ， 可 以 控制 用 户 访问 的 级 别 。 比 如 ， 只 
允许 读 取 不 能 更 改 ， 或 者 只 允许 列 出 文件 夹 内 容 ， 不 允许 打开 其 中 的 文件 等 。 


6.3.1 NTFS 权限 介绍 


当 一 个 用 户 试图 访问 一 个 文件 或 者 文件 夹 的 时 候 ，NTEFS 文件 系统 会 检查 用 户 使 用 的 账户 或 者 账户 所 
属 的 组 是 否 在 此 文件 或 文件 夹 的 访问 控制 列表 (ACL) 中 。 如 果 存 在 ， 则 进一步 检查 访问 控制 项 (ACE), 然后 
根据 控制 项 中 的 权限 来 判断 用 户 最 终 的 权限 。 如 果 访 问 控制 列表 中 不 存在 用 户 使 用 的 账户 或 者 账户 所 属 的 


组 ， 则 拒绝 用 户 访问 。 
1. 文件 夹 的 NTFS 安全 权限 


于 完全 控制 : 对 文件 或 者 文件 夹 可 执行 所 有 操作 。 
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和 ”修改 : 可 以 修改 、 删 除 文件 或 者 文件 夹 。 

里 ” 读 取 和 运行 : 可 以 读 取 内 容 ， 并 且 可 以 执行 应 用 程序 。 

至 。 列 出 文件 夹 目录 : 可 以 列 出 文件 夹 内 容 ， 此 权限 只 针对 文件 夹 存 在 。 
 ” 读 取 : 可 以 读 取 文件 或 者 文件 夹 的 内 容 。 

和 。” 写 入 : 可 以 创建 文件 或 者 文件 夹 。 

ms ”特别 的 权限 : 其 他 不 常用 权限 ， 比 如 删除 权限 的 权限 。 

2. 文件 的 NTFS 安全 权限 


所 有 权限 都 有 相应 的 “允许 ”和 “拒绝 ”两 种 选择 。 文 件 或 者 文件 夹 的 默认 权限 是 继承 上 一 级 文件 夹 
的 权限 ， 如 果 是 根 目录 (比如 c:\) 下 的 文件 夹 ， 则 其 权限 是 继承 磁盘 分 区 的 权限 ， 如 图 6-9、 图 6-10 所 示 。 
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图 6-9 文件 夹 权 限 图 6-10 文件 权限 


6.3.2 NTFS 权限 的 应 用 规则 


下 面 介绍 NTFS 安全 权限 的 应 用 规则 。 
1. 权限 是 累加 的 


当 一 个 用 户 属于 多 个 组 的 时 候 ， 这 个 用 户 会 得 到 各 个 组 的 累加 权限 ， 但 是 一 旦 有 一 个 组 的 相应 权限 被 
拒绝 ， 此 用 户 的 此 权限 也 会 被 拒绝 。 比 如 : 假设 有 一 个 用 户 USER， 如 果 USER 属于 A 和 了 B 两 个 组 ，A 组 
对 某 文件 有 读 取 权 限 ，B 组 对 此 文件 有 写 入 权限 ，USER 自己 对 此 文件 有 修改 权限 ， 那 么 USER 对 此 文件 
的 最 终 权 限 为 读 取 + 写 入 + 修改 权限 。 

2. 权限 的 继承 

新 建 的 文件 或 者 文件 夹 会 自动 继承 上 一 级 目录 或 者 驱动 器 的 NTFS 权限 ， 但 是 从 上 一 级 继承 下 来 的 权 
限 是 不 能 直接 修改 的 ， 只 能 在 此 基础 上 添加 其 他 权限 。 也 就 是 不 能 把 权限 上 的 勾 去 掉 。 

当然 这 并 不 是 绝对 的 ， 只 要 有 足够 的 权限 ， 比 如 你 是 管理 员 ， 也 可 以 修改 这 个 继承 下 来 的 权限 ， 或 者 
让 文件 不 再 继承 上 一 级 目录 或 者 驱动 器 的 NTFS 权限 。 

3. 权限 的 拒绝 

拒绝 的 权限 优先 于 允许 的 权限 。 无 论 给 用 户 账户 什么 权限 ， 只 要 设置 了 拒绝 权限 ， 那 么 被 拒绝 的 权限 
就 绝对 有 效 。 
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4. 移动 和 复制 操作 对 权限 的 影响 
这 里 一 共有 3 种 情况 ， 同 一 NTFS 分 区 、 不 同 NTFS 分 区 以 及 FAT 分 区 ， 如 表 6-1 所 示 。 


表 6-1 移动 和 复制 操作 对 权限 的 影响 


同一 NTFS 分 区 不 同 NTFS 分 区 
移动 继承 目标 文件 ( 夹 ) 权 限 继承 目标 文件 ( 夹 ) 权 限 


复制 保留 源 文件 ( 夹 ) 权 限 继承 目标 文件 ( 夹 ) 权 限 


6.3.3” 显 式 权 限 和 继承 权限 


一 般 对 象 有 两 种 类 型 的 权限 : 显 式 权限 和 继承 权限 。 

于 显 式 权限 是 创建 对 象 时 用 户 所 设置 的 默认 权限 。 

里 继承 权限 是 从 父 对 象 传播 到 子 对 象 的 权限 。 继 承 权限 使 管理 权限 的 任务 更 加 容易 ， 并 且 确 保 给 定 

容器 内 所 有 对 象 权限 的 一 致 性 。 

默认 情况 下 ， 容 器 内 的 对 象 从 创建 该 对 象 时 的 容器 继承 权限 。 例 如 ， 创 建 名 为 “公共 空间 ” 的 文件 
夹 时 ，“ 公 共 空 间 ” 内 的 所 有 子 文件 夹 和 文件 都 自动 从 该 文件 夹 继 承 权限 。 因 此 ，“ 公 共 空间 ”文件 夹 有 
显 式 权限 ， 而 其 内 部 的 所 有 子 文件 夹 和 文件 都 有 继承 权限 。 

示例 查看 继承 的 权限 。 

如 图 6-11 所 示 ， 打 开 在 FileServer 服务 器 的 “公共 空间 ”文件 夹 下 的 记事 本 文件 VistaSN.txt 属性 ， 
切换 到 “安全 ”选项 卡 ， 单 击 “ 高 级 ”按钮 。 

如 图 6-12 所 示 ， 在 出 现 的 “VistaSN 的 高 级 安全 设置 ”对 话 框 中 ， 能 够 看 到 从 父 项 继承 下 来 的 权限 。 
BR WT 
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图 6-11 查看 高 级 权限 图 6-12 ”查看 继承 下 来 的 权限 


注意 : 如 果 对 象 有 显 式 “允许 ”权限 项 ， 则 继承 的 “拒绝 ”权限 并 不 会 阻止 对 该 对 象 的 访问 。 显 式 权限 
的 优先 级 高 于 继承 权限 ， 即 使 继承 的 是 “拒绝 ”权限 。 继 承 的 权限 默认 不 能 更 改 ， 除 非 阻止 该 文件 或 文 
件 夹 继承 父 项 的 权限 。 
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6.3.4 ”确定 应 用 权限 的 位 置 


当 在 父 文 件 夹 上 设置 权限 后 ， 在 该 文件 夹 中 创建 的 新 文件 和 子 文件 夹 都 将 继承 这 些 权限 。 如 果 不 想 让 
它们 继承 这 些 权 限 ， 则 在 设置 父 文件 夹 的 特殊 权限 时 应 选择 “应 用 于 ” 框 中 的 “ 仅 此 文件 夹 ”选项 。 
示例 : 更 改 权限 的 应 用 位 置 。 
将 “公共 空间 访问 组 ”的 访问 权限 应 用 到 文件 夹 以 及 子 文件 夹 ， 不 应 用 到 内 部 的 文件 。 
中 如 图 6-13 所 示 ， 打 开 “ 公 共 空间 ”文件 夹 属性 ， 切 换 到 “安全 ”选项 卡 ， 单 击 “ 高 级 ”按钮 。 
@ 如 图 6-14 所 示 ， 在 高 级 安全 对 话 框 中 ， 查 看 “公共 空间 访问 组 ”的 权限 应 用 于 ; 该 文件 夹 ， 子 文 
件 和 文件 ， 单 击 “ 编 辑 ” 按 钮 。 
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图 6-13 查看 高 级 权限 设置 图 6-14 ”查看 权限 应 用 层次 


图 如 图 6-15 所 示 ， 可 以 看 到 在 文件 夹 上 设置 的 权限 默认 应 用 到 该 文件 夹 、 子 文件 夹 和 文件 。 

@ 在 高 级 安全 设置 对 话 框 中 ， 选 中 “公共 空间 访问 组 ”选项 ， 单 击 “ 编 辑 ” 按 钮 。 

回 如 图 6-16 所 示 ， 在 出 现 的 权限 项 目 对 话 框 中 ， 在 “应 用 于 ”下 拉 列 表 框 中 选择 “该 文件 夹 及 子 文 
件 夹 ” 选 项 ， 单 击 “ 确 定 ”按钮 ， 完 成 更 改 。 
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图 6-15 编辑 高 级 权限 图 6-16 ”更 改 权限 应 用 层次 
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如 图 6-17 所 示 ， 再 次 打开 “公共 空间 ”内 的 记事 本 文件 ， 查 看 其 安全 属性 。 
@ 如 图 6-18 所 示 ， 打 开 其 中 的 文件 夹 查看 权限 的 应 用 情况 。 


提示 : 你 将 发 现 记事 本 文件 没有 应 用 “公共 空间 访问 组 ”的 权限 ， 而 文件 夹 应 用 了 “公共 空间 访问 组 ” 
的 权限 。 
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图 6-17 检查 文件 的 权限 继承 情况 图 6-18 检查 文件 夹 的 权限 继承 情况 


6.3.5 ”阻止 应 用 继承 权限 


可 以 通过 “权限 ”选项 卡 更 改 特殊 权限 。 如 果 要 阻止 某 些 文件 或 子 文件 夹 继 承 权限 ， 则 右 击 该 文件 或 
子 文件 夹 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ,切换 到 “安全 ”选项 卡 ， 单 击 “ 高 级 ”按钮 ， 然 后 取 
消 选 中 “包括 可 从 此 对 象 的 父 项 继承 的 权限 ” 复 选 框 。 

如 果 与 每 个 权限 相关 联 的 “允许 ”或 “拒绝 ” 复 选 框 显示 为 被 阴影 覆盖 ， 则 表示 文件 或 文件 夹 已 经 从 
父 文件 夹 中 继承 了 权限 。 有 三 种 方法 可 以 更 改 继承 的 权限 。 

(1) 选择 相反 的 权限 (“人 允许 ”或 “拒绝 ”) 蔡 代 继 承 的 权限 ， 如 图 6-19 所 示 。 

示例 1: 选择 相反 的 权限 替代 继承 权限 。 


在 VistaSN .txt 记事 本 文件 的 安全 属性 上 可 以 看 到 继承 下 来 的 权限 ， Administrators 组 有 完全 控制 的 权 
限 ， 继 承 下 来 的 权限 在 这 个 地 方 不 能 修改 ， 但 是 可 以 选择 拒绝 “ 读 取 和 执行 ”和 “ 读 取 ”的 权限 ， 这 样 就 
会 用 相反 的 权限 替代 继承 的 权限 。 


(2) 取消 选中 “包括 可 从 该 对 象 的 父 项 继承 的 权限 ” 复 选 框 。 


这 样 ， 你 就 可 以 更 改 权限 ， 或 者 从 权限 列表 中 删除 用 户 或 组 。 但 是 ， 文 件 或 文件 夹 将 不 再 从 父 文件 夹 
继承 权限 。 


示例 2: 去 掉 继 承 的 权限 。 
如 果 想 完全 重新 设置 VistaSN.txt 记事 本 的 权限 ， 则 可 以 去 掉 继 承 下 来 的 权限 。 
Q@ 打开 记事 本 “VistaSN 属性 ”对 话 框 ， 如 图 6-20 所 示 ， 切 换 到 “安全 ”选项 卡 ， 单 击 “ 高 级 ” 
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按钮 。 
@ 在 出 现 的 高 级 安全 设置 对 话 框 中 ， 单 击 “ 编 辑 ” 按 钮 。 
@ 在 出 现 的 “Windows 安全 ”对 话 框 中 ， 单 击 “ 删 除 ”按钮 。 


提示 : 单 击 “ 复 制 ” 将 会 将 继承 下 来 的 权限 保留 ， 你 可 以 编辑 继承 下 来 的 权限 ， 如 果 点 击 “ 删 除 ”， 将 
会 将 继承 下 来 的 权限 删除 ， 你 需要 添加 新 的 用 户 或 组 授权 。 
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图 6-19 ”选择 相反 的 权限 替代 继承 权限 图 6-20 删除 继承 下 来 的 权限 


@ 如 图 6-21 所 示 ， 单 击 “添加 ”按钮 ， 输 入 hanLG， 单 击 “ 检 查 名 称 ” 按 钮 ， 单 击 “确定 ”按钮 。 
回 如 图 6-22 所 示 ， 授 予 韩 立 刚 “ 完 全 控制 ”权限 ， 单 击 “ 确 定 ” 按 钮 。 现 在 该 文件 只 有 “ 韩 立 刚 ” 
账户 能 够 完全 控制 了 。 
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图 6-22 ”授予 完全 控制 权 


图 6-21 添加 新 的 权限 
@@ 此 时 ， 管 理 员 也 不 能 打开 该 记事 本 了 。 
(3) 对 父 文 件 夹 进行 更 改 ， 随 后 文件 或 子 文件 夹 将 继承 这 些 权限 ， 即 更 改 父 对 象 权 限 的 应 用 位 置 。 
多 数 情况 下 ， 除 非 文 件 夹 从 其 父 文 件 夹 中 继承 冲突 设置 ， 否 则 “拒绝 ”会 蔡 代 “人 允许 ”。 这 种 情况 下 ， 


从 子 树 中 最 接近 该 对 象 的 父 文件 夹 继 承 来 的 设置 将 具有 优先 权 。 
只 有 可 继承 的 权限 可 以 由 子 对 象 继承 。 设 置 父 对 象 的 权限 时 ， 可 以 确定 文件 夹 或 子 文件 夹 是 否 能 够 使 
用 “< 对 象 > 的 高 级 安全 设置 ”对 话 框 的 “权限 ”选项 卡 中 的 “应 用 于 ”下 拉 列 表 框 来 继承 它们 。 
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6.3.6 ” 重 置 文件 的 安全 性 


在 文件 夹 上 可 以 重 置 其 内 部 的 文件 以 及 子 文件 夹 的 安全 设置 。 

示例 : 重 置 安全 设置 。 

车 “公共 空间 ”文件 夹 内 的 文件 以 及 子 文件 夹 的 权限 设置 的 安全 性 不 能 满足 你 现在 的 要 求 了 ， 则 可 以 

新 设置 “公共 空间 ”文件 夹 的 权限 。 

名 右 击 “公共 空间 ”文件 夹 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ,切换 到 “安全 ”选项 卡 ， 单 
击 “ 高 级 ”按钮 。 

@ 在 出 现 的 高 级 安全 设置 对 话 框 中 ， 单 击 “ 编 辑 ” 按 钮 。 

图 在 出 现 的 高 级 安全 设置 对 话 框 ， 如 图 6-23 所 示 ， 选 中 “使 用 可 从 此 对 象 继承 的 权限 替换 所 有 后 代 
上 现 有 的 所 有 可 继承 权限 ” 复 选 框 ， 单 击 “ 确 定 ” 按 钮 。 

@ 在 出 现 的 提示 对 话 框 中 ， 单 击 “ 是 ”按钮 。 

回 ”如 图 6-24 所 示 ， 再 次 打开 文件 夹 中 的 VistaSN.txt， 查 看 其 安全 性 。 发 现 上 一 节 去 掉 的 继承 权限 ， 
再 次 被 应 用 上 ， 并 且 在 上 一 节 授权 账户 “ 韩 立 刚 ”的 访问 VistaSN.txt 文件 权限 也 不 复 存在 了 。 
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提示 : 文件 以 及 文件 夹 的 所 有 者 能 够 无 条 件 地 设置 文件 的 安全 性 ， 或 对 文件 以 及 文件 夹 有 完全 控制 权限 
的 用 户 能 够 设置 其 安全 性 ， 如 果 里 面 的 文件 和 子 文件 内 是 其 他 用 户 账户 创建 的 ， 在 访问 的 过 程 中 会 出 现 
权限 不 足 的 提示 ， 则 需要 获得 对 象 的 所 有 权 后 ， 再 重新 设置 其 安全 性 。 关于 获得 对 象 所 有 权 ， 可 参照 6.3.7 
小 节 。 
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图 6-23 重 置 文件 夹 内 所 有 对 象 的 权限 图 6-24 ”内 部 对 象 权限 被 重 置 


6.3.7 ”获得 对 象 所 有 权 


对 象 所 有 权 
每 个 对 象 都 有 所 有 者 ， 无 论 是 在 NTFS 卷 中 或 者 在 Active Directory 中 。 所 有 者 控制 如 何 设置 对 象 
的 权限 以 及 将 权限 授予 谁 。 
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提示 : 需要 修改 或 更 改 文件 权限 的 管理 员 必 须 首先 取得 文件 所 有 权 。 默认 情 况 下 ， 所 有 者 是 创建 对 象 的 
”实体 。 所 有 者 可 始终 更 改 对 象 的 权限 ， 即 使 已 经 拒绝 了 到 对 象 的 所 有 访问 。 


如 下 人 员 可 以 取得 所 有 权 。 

”管理 员 。 默 认 情况 下 ，Administrators 组 拥有 “取得 文件 或 其 他 对 象 的 所 有 权 ” 用 户 权利 。 
”具有 对 相关 对 象 的 “取得 所 有 权 ” 权 限 的 任何 人 或 任何 组 。 
”拥有 “存储 文件 和 目录 ”用 户 权 利 的 用 户 。 

所 有 权 可 以 用 以 下 方式 转换 。 

。 ”当前 的 所 有 者 可 以 向 其 他 用 户 授予 “取得 所 有 权 ” 
权限 ， 人 允许 该 用 户 随时 取得 所 有 权 。 该 用 户 必须 
实际 取得 所 有 权 才 能 完成 所 有 权 的 转移 。 

。 管理 员 可 以 取得 所 有 权 。 

。 拥有 “存储 文件 和 目录 ”用 户 权 利 的 用 户 可 以 双 
击 “其 他 用 户 和 组 ”并 选择 任意 用 户 或 组 来 向 其 
分 配 所 有 权 。 

示例 1: 管理 员 获 得 对 象 的 所 有 权 。 
Q@ 以 “ 韩 立 刚 ” 用 户 账户 登录 FileServer, 在 公共 空间 创 

建 一 个 文件 hanLG.txt, 阻 断 继承 的 权限 , 授予 自己 能 

够 完全 控制 ， 如 图 6-25 所 示 。 

@@ ”打开 高 级 安全 设置 对 话 框 ， 查 看 记事 本 的 所 有 者 ， 如 

图 6-26 所 示 。 


图 6-25 更 改 NTFS 权限 


提示 : 该 记事 本 只 有 “ 韩 立 刚 ”用 户 账号 能 够 访问 ， 所 有 者 默认 就 是 创建 者 。 管 理 员 组 的 用 户 创建 的 对 
象 ， 所 有 者 默认 是 管理 员 组 的 所 有 成 员 。 


图 以 管理 员 的 身份 登录 ， 双 击 打开 该 记事 本 文件 ， 提 示 拒 绝 访问 。 
@ 打开 hanLG.txt 记事 本 文件 属性 ， 切 换 到 “安全 ”选项 卡 ， 单 击 “ 继 续 ” 按 钮 ， 如 图 6-27 所 示 。 
回 如 图 6-28 所 示 ， 在 出 现 的 高 级 安全 设置 对 话 框 中 ， 看 不 到 所 有 者 。 
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图 6-26 查看 所 有 者 图 6-27 查看 安全 设置 
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如 图 6-28 所 示 , 选中 administrator 账户 ， 单 击 “ 确 定 ”按钮 ， 在 出 现 的 提示 对 话 框 中 ， 单 击 “ 确 
定 ” 按 钮 。 关 闭 对 话 框 。 

@ 再 次 打开 hanLG.txt 记事 本 文件 属性 对 话 框 ， 如 图 6-29 所 示 ， 此 时 可 以 编辑 其 权限 了 ， 因 为 所 有 
者 已 经 是 管理 员 了 。 


图 6-28 获得 所 有 权 图 6-29 可 以 看 到 权限 


示例 2: 更 改 文件 夹 以 及 其 内 的 所 有 对 象 的 所 有 权 。 

Q@ ”打开 “公共 空间 ”文件 夹 高 级 安全 属性 ， 如 图 6-30 所 和 示 ， 切 换 到 “所 有 者 ”选项 卡 ， 单 击 “ 编 辑 ” 
按钮 。 

加 如 图 6-31 所 示 ， 选 中 “替换 子 容器 和 对 象 的 所 有 者 ” 复 选 框 ， 单 击 “确定 ”按钮 。 
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图 6-30 查看 文件 夹 的 所 有 者 图 6-31 替换 子 容器 和 对 象 的 所 有 者 


6.3.8 ”确定 对 象 的 有 效 权限 


每 个 对 象 都 有 与 其 相关 联 的 一 组 有 效 权限 。“ 高 级 安全 设置 ”属性 的 “有 效 权限 ”选项 区 中 列 出 了 那 
些 将 通过 组 成 员 身 份 直接 授权 的 选 定 组 或 基于 用 户 授权 访问 的 权限 。 如 果 要 查找 用 户 或 组 对 于 对 象 具 有 哪 
些 权限 ， 可 以 使 用 有 效 权限 工具 。 


有 效 权限 工具 可 以 计算 指定 用 户 或 组 授予 的 权限 。 计 算 时 ， 将 会 考虑 组 成 员 身份 生效 的 权限 ， 以 及 从 
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父 对 象 继承 的 任何 权限 。 另 外 ， 还 会 查找 用 户 或 组 作为 其 成 员 的 所 有 域 和 本 地 组 。 


用 于 确定 有 效 权 限 的 因素 如 下 : 

于 “全 局 组 成 员 身份 。 

于 “本 地 组 成 员 身份 。 

”本 地 权限 。 

”本 地 特权 。 

”通用 组 成 员 身 份 。 

示例 : 确定 对 象 的 有 效 权限 。 

名 右 击 “公共 空间 ”文件 夹 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 切 换 到 “安全 ”选项 卡 。 

加 如 图 6-32 所 示 ， 单 击 “ 高 级 ”按钮 。 在 出 现 的 高 级 安全 对 话 框 中 ， 切 换 到 “有 效 权 限 ”选项 卡 ， 
单 击 “ 选 择 ” 按 钮 。 

@ 如 图 6-33 所 示 ， 在 “选中 用 户 、 计 算 机 和 组 ”对 话 框 中 ， 输 入 “ 韩 立 刚 ”， 单 击 “ 检 查 姓 名 ” 按 
钮 ， 然 后 单 击 “ 确 定 ” 按 钮 。 
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图 6-32 ”确定 用 户 有 效 权限 图 6-33 ”选择 用 户 查 看 有 效 权限 


6.3.9 保护 具有 NTFS 权限 的 文件 的 最 佳 操作 
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设置 NTFS 权限 时 应 遵循 以 下 最 佳 操作 。 

于 ”将 权限 指派 给 组 而 不 是 用 户 。 由 于 直接 维护 用 户 账户 效率 不 高 ， 因 此 最 好 不 要 将 权限 直接 指派 给 
用 户 。 

se ”如 果 可 能 ， 避 免 更 改 文件 系统 对 象 的 默认 权限 项 ， 尤 其 是 系统 文件 来 和 根 文件 夹 。 更 改 默 认 权 限 
可 能 会 出 现 意外 的 访问 问题 或 者 降低 安全 性 。 

里 “不 拒绝 Everyone 组 访问 某 个 对 象 。 如 果 拒绝 Everyone 访问 某 个 对 象 ， 则 管理 员 也 不 能 访问 该 
对 象 。 更 好 的 解决 方案 是 删除 Everyone 组 ， 只 要 给 其 他 用 户 、 组 或 计算 机 授予 访问 该 对 象 的 权 
限 即 可 。 此 外 ， 可 能 需要 为 Administrators 组 和 LocalSystem 指派 “完全 控制 ”权限 。 

时。 如果 对 象 具有 显 式 允许 权限 ,， 则 继承 的 拒绝 权限 并 不 禁止 访问 该 对 象 。 显 式 权 限 优 于 继承 的 权限 ， 

其 中 包括 继承 的 拒绝 权限 。 

”拒绝 权限 只 能 用 于 以 下 特殊 情形 。 
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。 从 具有 “允许 ”权限 的 组 中 排除 部 分 成 员 。 
。 ”为 用 户 或 组 指派 “完全 控制 ”权限 后 排除 一 个 特殊 的 权限 。 

”为 网 站 配置 NTFS 权限 时 应 小 心 使 用 。 权 限 设置 不 当 可 能 会 拒绝 有 效用 户 访问 需要 的 文件 和 目 
录 。 例 如 ， 即 使 用 户 有 查看 和 执行 程序 的 正确 权限 ， 而 可 能 还 是 无 权 访问 运行 该 程序 所 需 的 特定 
动态 链接 库 (DLL)。 要 保证 用 户 可 以 安全 和 不 间断 地 访问 文件 ， 可 将 相关 文件 放 在 同一 目录 下 ， 
并 为 该 目录 指派 相应 的 NTFS 权限 。 


6.3.10 NTFS 权限 应 用 实战 


1. 场景 一 


研发 部 经 理 打算 实现 这 样 的 功能 : 员工 制作 的 图 纸 一 旦 提交 之 后 就 不 允许 员工 再 访问 ， 防 止 员工 不 小 
心 删除 ， 由 归档 员 “ 兰 帅 ” 来 处 理 提交 的 图 纸 。 

Q@ 创建 一 个 “研发 图 纸 ” 文 件 夹 ， 在 “研发 图 纸 ” 高 级 安全 对 话 框 中 ， 取 消 选中 “包括 可 从 该 对 象 
的 父 项 继承 的 权限 ” 复 选 框 。 在 弹出 的 对 话 框 中 ， 单 击 “ 删 除 ”按钮 。 单 击 高 级 安全 对 话 框 中 的 
“添加 ”按钮 ， 输 入 “研发 人 员 ”， 单 击 “ 检 查 名 称 ”， 单 击 “ 确 定 ”按钮 。 如 图 6-34 所 示 ， 授 
予 研发 人 员 “ 列 出 文件 夹 / 读 取 数据 ”和 “创建 文件 / 写 入 数据 ”的 权限 。 单 击 “ 确 定 ” 按 钮 。 

@ ”再 次 单 击 “ 添 加 ”按钮 ， 输 入 “ 兰 帅 ”， 单 击 “ 检 查 名 称 ” 按 钮 ， 如 图 6-35 所 示 ， 授 予 “ 兰 帅 ” 
完全 控制 的 权限 。 
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图 6-34 设置 权限 图 6-35 ”授予 完全 控制 权限 


2. 场景 二 
“公共 空间 ”文件 夹 ， 存 储 所 有 用 户 的 数据 ， 为 了 管理 方便 ， 不 允许 用 户 随便 在 “公共 空间 ”文件 夹 
中 创建 文件 和 文件 夹 ， 管 理 员 为 每 个 用 户 创建 一 个 文件 夹 ， 并 授予 用 户 对 自己 文件 夹 的 完全 控制 权 。 
Q@@ 如 图 6-36 所 示 ， 打 开 “ 公 共 空间 ”文件 夹 安全 属性 ， 去 掉 继承 下 来 的 权限 ， 授 予 管 理 员 完 全 控制 
的 权限 ， 授 予 Domain Users 列 出 文件 夹 / 读 取 数据 的 权限 。 
@ 在 “公共 空间 ”文件 夹 ， 为 每 个 用 户 创建 子 文件 夹 ， 如 图 6-37 所 示 ， 单 击 “ 高 级 ”按钮 ， 打 开 高 
级 安全 设置 对 话 框 ， 单 击 “ 添 加 ”按钮 授予 “ 韩 立 刚 ”账户 完全 控制 权 。 单 击 “确定 ”按钮 。 
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图 6-36 ”更改 文件 夹 的 权限 图 6-37 ”针对 每 个 用 户 的 文件 夹 单 独 授权 


6.4 ”加 密 文件 系统 


EFS(Encrypting File System， 加 密 文件 系统 ) 是 Windows 2000/XP/Vista/Server 2008 所 特有 的 一 个 实 
用 功能 ， 加 密 文件 系统 (EFS) 提供 了 用 于 在 NTFS 文件 系统 卷 上 存储 加 密 文件 的 核心 文件 加 密 技术 。 由 
于 EFS 与 文件 系统 相 集成 ， 因 此 使 管理 更 方便 ， 使 系统 难以 被 攻击 ， 并 且 对 用 户 是 透明 的 。 此 技术 对 于 
保护 计算 上 可 能 易 被 其 他 用 户 访问 的 数据 特别 有 用 。 对 文件 或 文件 夹 加 密 后 ， 即 可 像 使 用 任何 其 他 文件 和 
文件 夹 那样 ， 使 用 加 密 的 文件 和 文件 夹 。 

EFS 加 密 是 基于 公 钥 策略 的 。 在 使 用 EFS 加 密 一 个 文件 或 文件 夹 时 ， 系 统 首先 会 生成 一 个 由 伪 随 机 数 
组 成 的 FEK(File Encryption Key， 文 件 加 密 钥 匙 )， 然 后 将 利用 FEK 和 数据 扩展 标准 X 算法 创建 加 密 后 的 
文件 ， 并 把 它 存储 到 硬盘 上 ， 同 时 删除 未 加 密 的 原始 文件 。 随 后 系统 利用 用 户 的 公 钥 加 密 FEK， 并 把 加 密 
后 的 FEK 存储 在 同一 个 加 密 文 件 中 。 而 在 访问 被 加 密 的 文件 时 ， 系 统 首先 利用 当前 用 户 的 私 钥 解 密 FEK， 
然后 利用 FEK 解密 出 文件 。 在 首次 使 用 EFS 时 ， 如 果 用 户 还 没有 公 钥 / 私 钥 对 (统称 为 密 钥 )， 则 会 首先 生成 
密 钥 ， 然 后 加 密 数 据 。 如 果 你 登录 到 了 域 环境 中 ， 密 钥 的 生成 依赖 于 域 控制 器 ， 否 则 依赖 于 本 地 机 器 。 

EFS 加 密 系统 对 用 户 是 透明 的 。 这 也 就 是 说 ， 如 果 你 加 密 了 一 些 数据 ， 那 么 你 对 这 些 数据 的 访问 将 是 
完全 允许 的 ， 并 不 会 受到 任何 限制 。 而 其 他 非 授权 用 户 试图 访问 加 密 过 的 数据 时 ， 将 会 收 到 “访问 拒绝 ” 
的 错误 提示 。EFS 加 密 的 用 户 验证 过 程 是 在 登录 Windows 时 进行 的 ， 只 要 登录 到 Windows， 就 可 以 打开 
任何 一 个 被 授权 的 加 密 文 件 。 


6.4.1 EFS 加 密 


选中 NTFS 分 区 中 的 一 个 文件 后 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 在 随后 出 现 的 对 话 杠 
中 ， 切 换 到 “常规 ”选项 卡 。 然 后 单 击 “ 高 级 ”按钮 ， 在 出 现 的 对 话 框 中 选中 “加 密 内 容 以 便 保 护 数据 ” 
复 选 框 ， 单 击 “ 确 定 ” 按 钮 即 可 。 

此 时 你 会 发 现 ， 加 密 文件 名 的 颜色 变 成 了 绿色 。 当 其 他 用 户 登 录 系统 后 打开 该 文件 时 ， 就 会 出 现 “ 拒 
绝 访 问 ” 的 提示 ， 这 表示 EFS 加 密 成 功 。 而 如 果 想 取消 该 文件 的 加 密 ， 只 需 取 消 选中 “加 密 内 容 以 便 保护 
数据 ” 复 选 框 即 可 。 
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名 ”以 域 用 户 “ 韩 立 刚 ”登录 到 Research 计算 机 上 。 

回 如 图 6-38 所 示 ， 右 击 桌面 上 的 下 图标 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ,在 下 属性 对 话 
框 中 ， 切 换 到 “内 容 ” 选 项 卡 ， 单 击 “ 证 书 ” 按 钮 。 

图 如 图 6-39 所 示 ， 打 开 “ 证 书 ”对 话 框 。 此 时 可 以 看 到 没有 任何 个 人 证 书 。 
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图 6-38 查看 用 户 的 证 书 图 6-39 查看 个 人 证 书 


© 注意 ，EFS 使 用 加 密 密 钥 对 数据 进行 加 密 。 加 密 密 铀 与 证 书 绑 定 在 一 起 。 首 次 加 密 文件 或 文件 关 时 ， 将 
为 用 户 创建 加 密 证 书 和 密 铀 。 


在 E 杠 上 创建 一 个 文件 夹 hanLG EFS5， 右 击 该 文件 夹 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 。 
在 “常规 ”选项 卡 中 ， 单 击 “ 高 级 ”按钮 。 在 高 级 属性 对 话 框 中 ， 如 图 6-40 所 示 ， 选 中 “加 密 内 
容 以 便 保护 数据 ” 复 选 框 ， 单 击 “ 确 定 ” 按 钮 。 此 时 ， 你 将 发 现 加 密 后 的 文件 夹 变 成 了 绿色 。 
@ 再 次 打开 IE 属性 对 话 框 ， 在“ 内容 ”选项 卡 中 ， 单 击 “ 证 书 ” 按 钮 ， 如 图 6-41 所 示 ， 可 以 看 到 
当前 用 户 用 于 EFS 的 数字 证 书 。 选 中 hanLG 证 书 ， 单 击 “ 查 看 ”按钮 。 


@© 


图 6-40 ”加 密 文 件 夹 图 6-41 查看 系统 分 配给 用 户 的 证 书 


加 如 图 6-42 所 示 ， 可 以 看 到 证 书 的 信息 。 
在 hanLG EFS 文件 夹 中 创建 一 个 记事 本 文件 hanLG Test.txt, 你 会 发 现 该 记事 本 文件 自动 被 加 密 。 
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回 换 一 个 域 账户 " 韩 旭 ?登录 到 Research 计算 机 .发 现 不 能 访问 “ 韩 立 刚 ” 加 密 的 文件 hanLG Test.txt。 


© 注意 ; 这 里 出 现 的 拒绝 访问 ， 不 是 NTFS 权限 拒绝 访问 ， 而 是 因为 韩 旭 账户 不 能 解密 韩 立 刚 账户 加 密 的 
文件 . 


图 6-42 查看 证 书 详细 信息 


6.4.2 备份 EFS 证 书 


如 果 其 他 人 想 共 享 经 过 EFS 加 密 的 文件 或 文件 夹 ， 又 该 怎么 办 呢 ? 由 于 重 装 系统 后 ，SID( 安 全 标识 符 ) 
的 改变 会 使 原来 由 EFS 加 密 的 文件 无 法 打开 , 所 以 为 了 保证 别人 能 共享 EFS 加 密 文件 或 者 重 装 系统 后 可 以 
打开 EFS 加 密 文件 ， 必 须 备份 证 书 。 
备份 EFS 证 书 的 几 种 方式 如 下 。 
1. 通过 IE 属性 备份 EFS 证 书 
@ 打开 下 属性 对 话 框 ， 切 换 到 “内 容 ” 选 项 卡 ， 单 击 “ 证 书 ” 按 钮 。 
回 ”如 图 6-43 所 示 ， 选 中 要 导出 的 证 书 ， 单 击 “ 导 出 ”按钮 。 在 出 现 的 “证 书 导 出 向 导 ” 对 话 框 中 ， 
单 击 “ 下 一 步 ”按钮 。 
图 如 图 6-44 所 示 ， 在 出 现 的 “导出 私 钥 ” 设 置 界面 中 ， 选 中 “是 ， 导 出 私 钥 ” 单 选 按钮 ， 单 击 “ 下 
一 步 ”按钮 。 
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图 6-43 导出 数字 证 书 图 6-44 选择 导出 私 钥 
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图 如 图 6-45 所 示 ， 在 出 现 的 “导出 文件 格式 ”界面 中 ， 单 击 “ 下 一 步 ”按钮 。 
回 如 图 6-46 所 示 ， 输 入 密码 保护 私 钥 ， 单 击 “ 下 一 步 ”按钮 。 


© 注意 ， 该 密码 要 牢记 ， 以 后 导入 该 数字 证 书 时 需要 用 到 该 密码 。 
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图 6-45 选择 导出 格式 图 6-46 输入 密码 
如 图 6-47 所 示 ， 输 入 证 书 的 存储 位 置 和 文件 名 ， 完 成 证 书 导 出 向 导 。 


图 6-47 输入 导出 的 证 书 名 称 


2. 通过 “用 户 账户 ”备份 属性 


选择 “开始 ”一 “设置 ”一 “控制 面板 ”一 “用 户 账户 ”命令 ， 如 图 6-48 所 示 ， 单 击 “ 管 理 您 的 
文件 加 密 证 书 ” 选 项 。 

如 图 6-49 所 示 ， 在 出 现 的 “管理 文件 加 密 证 书 ” 向 导 中 ， 单 击 “ 下 一 步 ”按钮 。 

打开 如 图 6-50 所 示 的 对 话 框 ， 选 择 EFS 加 密使 用 的 数字 证 书 ， 单 击 “ 下 一 步 ” 按 钮 。 

如 图 6-51 所 示 ， 输 入 备份 的 位 置 和 密 钥 ， 单 击 “ 下 一 步 ” 按 钮 。 

如 图 6-52 所 示 ， 更 新 以 前 加 密 的 文件 ， 选 中 加 密 的 目录 ， 单 击 “ 下 一 步 ” 按 钮 。 

如 图 6-53 所 示 ， 单 击 “ 关 闭 ” 按 钮 ， 完 成 证 书 备 份 向 导 。 


@oee@e © 
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图 6-49 ”管理 文件 加 密 证 书 向 导 
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图 6-52 更 新 EFS 加 密 的 文件 图 6-53 密 钥 备份 成 功 
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Le | 提示 : 这 样 所 有 的 文件 都 使 用 现在 的 证 书 加 密 ， 避 免 现 在 备份 的 证 书 不 能 解密 这 些 加 密 的 文件 来 。 


3. 通过 证 书 管理 单元 备份 证 书 

Q@ 选择 “开始 ”一 “运行 ”命令 ， 在 打开 的 “运行 ”对 话 框 中 输入 certmgr.msc， 按 Enter 键 。 

回 如 图 6-54 所 示 ， 在 出 现 的 证 书 窗 口中 双击 展开 “证 书 -当前 用 户 ” 一 “个 人 ”一 “证 书 ” 节 点 。 

图 此 时 ， 右 侧 窗 格 中 会 出 现 以 你 的 用 户 名 为 名 称 的 证 书 。 选 中 该 证 书后 右 击 ， 在 弹出 的 快捷 菜单 中 
选择 “所 有 任务 ”一 “导出 ”命令 ， 打 开 “ 证 书 导 出 向 导 ” 对 话 框 。 


提示 : 在 向 导 进行 过 程 中 ， 当 出 现 “ 是 否 要 将 私 铀 跟 证 书 一 起 导出 ”提示 时 ， 应 选择 “是 ， 导 出 私 钥 ” 
”选项 ， 接 着 会 出 现 向 导 提示 要 求 密码 的 对 话 框 。 为 了 安全 起 见 ， 可 以 设置 证 书 的 安全 密码 。 
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图 6-54 ”打开 证 书 管理 工具 
图 当选 择 好 保存 的 文件 名 及 文件 路 径 后 ， 单 击 “ 完 成 ”按钮 即 可 顺利 将 证 书 导出 。 此 时 会 发 现在 保 
存 路 径 上 出 现 一 个 以 PFX 为 扩展 名 的 文件 。 
提示 : 当 其 他 用 户 或 重 装 系统 后 欲 使 用 该 加 密 文 件 时 ， 只 需 记 住 证 书 及 密码 ， 然 后 在 该 证 书 上 右 击 ， 在 弹 
出 的 快捷 菜单 中 选择 “安装 证 书 ” 命 令 ， 即 可 进入 “证 书 导入 向 导 ” 对 话 框 。 按 默认 状态 单 击 “ 下 一 步 ” 
按钮 ， 输 入 正确 的 密码 后 ， 即 可 完成 证 书 的 导入 ， 这 样 即 可 顺利 打开 所 加 密 的 文件 。 


6.4.3 ”导入 其 他 用 户 的 EFS 证 书 


导入 其 他 用 户 的 EFS 证 书 ， 可 以 打开 其 加 密 的 文件 。 
示例 : 域 账户 韩 旭 导入 韩 立 刚 账户 备份 的 EFS 证 书 打开 其 加 密 的 文件 。 
名 ” 韩 立 刚 账户 将 其 导出 的 EFS 证 书 备份 到 “公用 ”文件 夹 中 “公用 图 片 ”中 。 
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提示 : 韩 旭 用 户 账户 没有 权限 访问 韩 立 刚 账户 的 “我 的 文档 ”， 将 EFS 证 书 放 到 “公用 ”文件 夹 中 的 “ 公 
用 图 片 ”文件 夹 的 目的 是 为 了 韩 旭 能 够 访问 韩 立 刚 的 EFS 证 书 。 


以 域 账户 “ 韩 旭 ”登录 到 Research 计算 机 。 双 击 hanLG EFS 文件 夹 中 的 hanLG Test.txt， 系 统 


@) 
提示 “拒绝 访问 ”， 如 图 6-55 所 示 。 
图 如 图 6-56 所 示 , 打开 焉 属性 对 话 框 ,切换 到 “内 容 ” 选 项 卡 ， 单 击 “ 证 书 ” 按 钮 ， 在 出 现 的 “证 


书 ” 对 话 框 中 ， 单 击 “ 导 入 ”按钮 。 
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6-55 ”解密 失败 不 能 访问 图 6-56 导入 韩 旭 的 EFS 证 书 


图 浏览 到 “公用 ”文件 夹 中 的 “公用 图 片 ”文件 夹 ， 如 图 6-57 所 示 ， 文 件 扩展 名 选中 “个 人 信息 交 


换 *pfc*p12”， 选 中 要 导入 的 证 书 ， 单 击 “打开 ”按钮 。 
回 “如 图 6-58 所 示 输 入 私 钥 保护 密码 ， 选 中 “标志 此 密 钥 为 可 导出 的 密 钥 ” 复 选 框 ， 单 击 “ 下 一 步 " 


按钮 。 
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Se| 二 到 加 小 RCR 
图 6-58 输入 导入 密 钥 
单 击 “ 下 一 步 ” 按 钮 ， 完 成 证 书 导 入 。 
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图 6-57 ”浏览 到 韩 旭 的 EFS 证 书 
@ 如 图 6-59 所 示 ， 在 证 书 存储 对 话 框 中 ， 默 认为 “个 人 ”， 
你 将 看 到 两 个 可 用 的 证 书 。 
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@ 如 图 6-60 所 示 ， 再 次 双击 韩 立 刚 加 密 的 记事 本 文件 ， 发 现 能够 打开 ， 说 明 解密 成 功 。 
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图 6-59 两 个 数字 证 书 图 6-60 ”能够 解密 


6.4.4 共享 EFS 文件 


你 可 能 需要 授权 其 他 用 户 账户 能 访问 你 加 密 的 文件 ， 与 使 用 同一 个 计算 机 的 其 他 用 户 共享 加 密 文件 。 

示例 : 与 使 用 同一 个 计算 机 的 其 他 用 户 共享 加 密 文 件 。 

域 用 户 账户 “ 韩 立 刚 ” 在 Research 计算 机 上 加 密 的 文件 允许 域 用 户 “ 兰 帅 ” 账 户 访问 。 

Q@ 以 “ 兰 帅 ”的 域 用 户 账 户 登录 Research 计算 机 ， 创 建 一 个 文件 夹 ， 并 将 其 属性 设置 为 加 密 。 目 的 
是 让 系统 给 “ 兰 帅 ”分 配 一 个 EFS 证 书 。 

@ 注销 “ 兰 帅 ”用 户 账 户 。 

@ ”以 韩 立 刚 账户 登录 Research 计算 机 ， 右 击 文件 夹 “hanLG EFS” 文 件 夹 中 的 “hanLG test.txt” 
文件 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 。 


GB 提示 : 不 能 允许 其 他 用 户 账户 访问 整个 加 密 的 文件 夫 。 只 能 针对 一 个 文件 授权 其 他 用 户 访问 EFS。 

@ 如 图 6-61 所 示 , 在 属性 对 话 框 中 ， 单 击 “ 高 级 ”按钮 ， 在 出 现 的 “高 级 属性 ”对 话 框 中 ， 单 击 “ 详 
细 信 息 ”按钮 。 

回 如 图 6-62 所 示 ， 在 出 现 的 “用 户 访问 ”对 话 框 中 ， 单 击 “ 添 加 ”按钮 。 

在 出 现 的 对 话 框 中 ， 列 出 了 存储 在 本 地 计算 机 的 用 户 配置 文件 中 有 EFS 证 书 的 用 户 的 EFS 证 书 。 
选中 “ 兰 帅 ”的 EFS 证 书 ， 单 击 “ 确 定 ” 按 钮 ， 如 图 6-63 所 示 。 完 成 授权 。 


提示 : 这 样 加 密 该 文件 的 对 称 密 钥 被 这 两 个 用 户 的 EFS 证 书 中 的 公 钥 加 密 了 ， 因 此 两 个 用 户 账户 都 能 够 
使 用 自己 的 私 钥 解密 加 密 的 对 称 密 钥 ， 使 用 该 对 称 密 钥 再 解密 该 文件 。 


@ 以 “ 兰 帅 ”账户 登录 Research 计算 机 ， 能 够 打开 该 记事 本 文件 ， 如 图 6-64 所 示 。 
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图 6-61 “高 级 属性 ”对 话 框 
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图 6-63 ”选择 “ 兰 帅 ”的 EFS 的 数字 证 书 图 6-64 “ 兰 帅 ”也 能 打开 


6.4.5 ”在 域 环境 中 使 用 EFS 


在 域 环境 中 ， 可 以 安装 活动 目录 证 书 服务 ， 为 域 中 的 用 户 账户 颁发 EFS 证 书 。 这 样 使 用 漫游 用 户 配置 
文件 的 用 户 账户 ， 可 以 在 域 中 的 任何 计算 机 访问 自己 加 密 的 文件 。 

示例 ， 在 域 环境 中 使 用 EFS。 

1. 任务 

”安装 活动 目录 证 书 服务 。 

”配置 韩 立 刚 用 户 账户 使 用 漫游 式 配置 文件 。 
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使 用 新 证 书 重新 加 密 文 件 。 


在 Research 计算 机 上 共享 hanLG EFS 文件 夹 。 
“ 韩 立 刚 ” 用 户 账户 在 Sales 计算 机 登录 访问 Research 计算 机 共享 的 hanLG EFS 文件 夹 。 
查看 活动 目录 域 用 户 的 EFS 证 书 。 


2. 步骤 

名 ”以 域 管理 员 的 身份 登录 到 DCServer 上 ， 如 图 6-65 所 示 ， 打 开 “ 服 务 器 管理 器 ”窗口 ， 单 击 “ 添 
加 角色 ”按钮 。 

@ 如 图 6-66 所 示 ， 在 出 现 的 “选择 服务 器 角色 ”界面 中 ， 选 中 “Active Directory 证 书 服务 ” 复 选 
框 ， 单 击 “ 下 一 步 ”按钮 。 


OD 9 OOOO 


ee 


图 6-65 添加 角色 图 6-66 选择 活动 目录 证 书 服务 
@ 如 图 6-67 所 示 ， 在 出 现 的 “选择 角色 服务 ”界面 中 ， 选 中 “证 书 颁发 机 构 ”、“ 证 书 颁发 机 构 
Web 注册 ”和 “联机 响应 程序 ” 复 选 框 ， 单 击 “ 下 一 步 ” 按 钮 。 
@ 如 图 6-68 所 示 ， 在 “指定 安装 类 型 ”界面 中 ， 选 中 “企业 ” 单 选 按钮 ， 单 击 “ 下 一 步 ”按钮 。 
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图 6-67 选择 角色 服务 图 6-68 指定 安装 类 型 
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如 图 6-69 所 示 ， 在 出 现 的 “指定 CA 类 型 ”界面 中 ， 选 中 “ 根 CA” 单 选 按 钮 ， 单 击 “ 下 一 步 ” 
按钮 。 
如 图 6-70 所 示 ， 在 出 现 的 “设置 私 钥 ” 界 面 中 ， 选 中 “新 建 私 钥 ” 单 选 按钮 ， 单 击 “ 下 一 步 ” 
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图 6-69 指定 CA 类 型 图 6-70 设置 私 钥 
如 图 6-71 所 示 ， 在 “为 CA 配置 加 密 ” 界 面 中 ， 密 钥 长 度 选 中 2048， 单 击 “ 下 一 步 ” 按 钮 。 


如 图 6-72 所 示 ， 在 出 现 的 “配置 CA 名 称 ” 界 面 中 ， 输 入 此 CA 公用 名 称 ， 单 击 “ 下 一 步 ” 
按钮 。 


图 6-71 为 CA 配置 加 密 图 6-72 配置 CA 名称 


如 图 6-73 所 示 ， 在 出 现 的 “设置 有 效 期 ”界面 中 ， 指 定 证 书 的 有 效 期 ， 单 击 “ 下 一 步 ”按钮 。 
如 图 6-74 所 示 , 在 出 现 的 “配置 证 书 数据 库 ”对 话 框 中 ,选择 证 书 数据 库 和 日 志 的 位 置 , 单 击 “ 下 
一 步 ” 按 钮 ， 完 成 安装 过 程 。 


@ 如 图 6-75 所 示 ， 将 韩 立 刚 的 用 户 账户 配置 文件 指定 到 FileServer 上 的 profiles 文件 夹 中 。 
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© 注意 : 使 用 用 户 漫游 式 配置 文件 ， 使 得 用 户 的 EFS 证 书 在 域 中 的 任何 计算 机 都 可 用 。 


@ 在 Research 计算 机 和 Sales 计算 机 上 运行 gpupdate /force 命令 来 强制 计算 机 刷新 策略 ， 这 样 他 
们 就 能 自动 发 现 域 中 安装 的 证 书 颁发 机 构 了 ， 并 且 信任 该 证 书 颁发 机 构 。 

@ ”以 韩 立 刚 用户 账 户 登录 到 Research 计算 机 ， 选 择 “ 开 始 ” 一 “设置 ”一 “控制 面板 ”一 “用 户 
账户 ”命令 。 

@ ”打开 如 图 6-76 所 示 的 “用 户 帐户 ”窗口 ， 单 击 “ 管 理 您 的 文件 加 密 证 书 ” 选 项 。 


图 6-75 指定 漫游 式 配 置 文件 图 6-76 管理 文件 加 密 证 书 


加 ”如 图 6-77 所 示 , 在 “选择 或 创建 文件 加 密 证 书 ” 界 面 中 ,选中 “创建 新 证 书 ” 单 选 按钮 ， 单 击 “ 下 
一 步 ”按钮 。 

国 如 图 6-78 所 示 , 在 出 现 的 选择 证 书 类 型 对 话 框 中 ,选中 “ 域 证 书 颁发 机 构 颁发 的 证 书 ” 单 选 按钮 ， 
单 击 “下 一 步 ”按钮 。 

四 ”如 图 6-79 所 示 ， 在 出 现 的 “备份 证 书 和 密 钥 ”界面 中 ， 单 击 “ 稍 后 备份 证 书 和 密 钥 ” 单 选 按钮 ， 
单 击 “ 下 一 步 ”按钮 。 
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他 ”如 图 6-80 所 示 ， 在 “更 新 以 前 加 密 的 文件 ”界面 中 ， 选 中 hanLG EFS 文件 夹 ， 单 击 “ 下 一 步 ” 
按钮 。 
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图 6-77 创建 证 书 图 6-78 选择 证 书 类 型 


和 提示 : 通过 更 新 以 前 加 密 的 文件 夹 ， 该 文件 夹 中 的 文件 将 会 使 用 新 的 EFS 证 书 加 密 。 


He dn View Team AcE windowe 


EL CE ET ui 四 加 日 | 吕 加 图 
Ey 


图 6-79 ”备份 证 书 和 密 钥 图 6-80 更 新 以 前 加 密 的 文件 


四 ”如 图 6-81 所 示 ， 在 出 现 的 “ 某 些 加 密 的 文件 没有 更 新 ”界面 中 ， 单 击 “ 查 看 证 书 ” 按 钮 。 
图 如 图 6-82 所 示 , 在 “证 书 ” 对 话 框 的 “常规 ”选项 卡 中 , 可 以 看 到 颁发 者 是 ESS-DCSERVER-CA。 
依次 单 击 “ 确 定 ” 和 “关闭 ”按钮 。 


© 注意 ; 此 时 ， 可 以 看 到 你 有 一 个 与 该 证 书 对 应 的 私 铀 。 
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图 6-81 查看 证 书 图 6-82 证书 的 详细 信息 


四 右 击 hanLG EFS 文件 夹 ， 在 弹出 的 快捷 菜单 中 选择 “共享 ” 命令 ,在 出 现 的 “文件 共享 ”对 话 框 
中 ,， 单 击 “共享” 按钮 。 在 出 现 的 “用 户 帐户 控制 ”对 话 框 中 输入 域 管理 员 账号 和 密码 ， 如 图 6-83 
所 示 。 单 击 “ 确 定 ” 按 钮 ， 完 成 共享 。 

@ ”注销 韩 立 刚 账户 在 Research 上 的 登录 。 这 样 用 户 的 账户 配置 文件 会 存储 在 FileServer 服务 器 上 的 
profiles 文件 夹 中 。 

四 ”使 用 韩 立 刚 用 户 账户 在 Sales 计 算 机 上 登录 ,访问 Research 计 算 机 上 的 文件 夹 .双击 hanLG test.txt 
文件 夹 ， 发 现 能 够 打开 ， 说 明 能 够 解密 ， 如 图 6-84 所 示 。 
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图 6-83 ”输入 管理 员 账户 和 密码 图 6-84 访问 网 络 上 的 EFS 能 够 成 功 
园 在 DCServer 计算 机 上 以 域 管理 员 登 录 ， 打 开 “Active Directory 用 户 和 计算 机 ”窗口 ， 如 图 6-85 
所 示 ， 选 择 “ 查 看 ”一 “高 级 功能 ”命令 。 
加” 如 图 6-86 所 示 ， 双 击 “ 韩 立 刚 ”用 户 账 户 ， 在 “ 韩 立 刚 属性 ”对 话 框 中 ， 切 换 到 “发 布 的 证 书 ” 
选项 卡 ， 可 以 看 到 该 用 户 的 证 书 。 
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下 TRUE [ETIECOD — Io © “28 bm 
图 6-85 启用 高 级 功能 图 6-86 活动 目录 中 存储 的 EFS 证 书 
图 如 图 6-87 所 示 ， 选 中 该 证 书 ， 单 击 “ 查 看 证 书 ” 按 钮 ， 在 打开 的 “证 书 ” 对 话 框 中 ， 可 以 看 到 该 
证 书 没有 私 钥 。 


© 注意 : 存储 在 活动 目录 中 的 用 户 证 书 ， 只 是 证 书 的 公 铀 部 分 
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图 6-87 证 书 的 详细 信息 


6.4.6 ”指定 恢复 代理 证 书 


为 了 防止 个 别 用 户 账户 的 EFS 证 书 丢失 ， 造 成 加 密 的 数据 不 可 访问 ， 你 可 以 创建 数据 恢复 代理 证 书 。 
该 用 户 代理 程序 可 以 恢复 该 部 门 的 或 整个 域 的 用 户 加 密 的 文件 。 

示例 : 给 域 中 所 有 计算 机 指定 一 个 数据 恢复 代理 证 书 。 

Q 以 域 管 理 员 身 份 登录 DCServer。 

@ 选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 “组 策略 管理 ”命令 。 

图 如 图 6-88 所 示 ， 在 “组 策略 管理 ”对 话 框 中 ， 右 击 Default Domain Policy 选项 ， 在 弹出 的 快捷 
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提示 : 该 组 策略 默认 连接 在 域 级 别 上 ， 因 此 影响 到 域 中 所 有 的 计算 机 。 如 果 你 想 对 销售 部 门 的 计算 机 指 
定数 据 恢复 代理 证 书 ， 你 可 以 创建 新 的 组 策略 ， 并 将 该 组 策略 连接 到 销售 部 门 的 组 织 单元 。 


菜单 中 选择 “编辑 ”命令 。 


@ 在 “组 策略 管理 编辑 器 ”对 话 框 中 ， 如 图 6-89 所 示 ， 右 击 “ 加 密 文件 系统 ”选项 ， 在 弹出 的 快捷 
菜单 中 选择 “创建 数据 恢复 代理 程序 ”命令 。 
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图 6-88 ”编辑 默认 域 策 略 图 6-89 创建 数据 恢复 代理 程序 
回 ”如 图 6-90 所 示 ， 此 时 会 看 到 ESS-DCSERVER-CA 发 给 Administrator 的 文件 恢复 证 书 。 
双击 该 证 书 ， 打 开 “ 证 书 ” 对 话 框 ， 如 图 6-91 所 示 ， 你 会 看 到 证 书 的 目的 为 文件 恢复 ， 并 且 能 看 
到 你 有 一 个 与 该 证 书 对 应 的 私 钥 。 
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图 6-90 向 企业 CA 申请 的 证 书 图 6-91 证 书 的 用 途 和 颁发 者 


@ ”关闭 组 策略 编辑 器 。 

打开 IE 属性 对 话 框 ， 在 “内 容 ” 选 项 卡 中 ， 如 图 6-92 所 示 ， 单 击 “ 证 书 ” 按 钮 。 在 打开 的 “证 
书 ” 对 话 框 中， 选中 文件 恢复 证 书 ， 单 击 “ 导 出 ”按钮 。 

@ 如 图 6-93 所 示 ， 在 “导出 私 铀 ”界面 中 ， 选 中 “是 ， 导 出 私 钥 ” 单 选 按钮 ， 单 击 “ 下 一 步 ” 按 
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图 6-92 导出 恢复 代理 证 书 图 6-93 导出 私 钥 


如 图 6-94 所 示 ， 在 出 现 的 “导出 文件 格式 ”界面 中 ， 单 击 “ 下 一 步 ”按钮 。 
@@ 如 图 6-95 所 示 ， 在 出 现 的 “密码 ”界面 中 ， 输 入 密码 并 确认 ， 单 击 “ 下 一 步 ”按钮 。 


IE 
图 6-94 证 书 格式 图 6-95 输入 密 钥 
中 ”如 图 6-96 所 示 , 在 出 现 的 “要 导出 的 文件 ”界面 中 , 输入 存储 证 书 路 径 和 文件 名 , 单 击 “ 下 一 步 ” 
按钮 ， 完 成 导出 。 


注意 :将 导出 的 恢复 代理 证 书 受 善 保存 起 来 ， 为 了 安全 起 见 ， 现 在 你 可 以 删除 存储 在 域 控制 器 上 的 恢复 
代理 证 书 了 。 


中 如 图 6-97 所 示 ， 在 Research 计算 机 上 运行 gpupdate /force， 强 制 刷新 组 策略 。 

四 在 hanLG EFS 文件 夹 中 创建 一 个 记事 本 文件 second test.txt。 

加 ”切换 用 户 ， 以 域 管理 员 登 录 Research， 双 击 Second test.txt 文件 ， 你 将 会 发 现 拒绝 访问 。 

四 ”从 DCServer 计算 机 上 将 恢复 代理 证 书 复制 到 Research 计算 机 。 打开 IE 属 性 对 话 框 , 切换 到 “内 
容 ” 选项 卡 ， 单 击 “ 证 书 ” 按 钮 。 
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图 6-96 指定 保存 位 置 图 6-97 ”强制 刷新 组 策略 


外 在 如 图 6-98 所 示 的 “证 书 ” 对 话 框 中 ,浏览 到 恢复 代理 证 书 ， 单 击 “ 导 入 ”按钮 ， 单 击 “ 下 一 步 ” 
按钮 ， 在 打开 的 “密码 ”对 话 框 中 ， 输 入 密码 ， 将 恢复 代理 证 书 导 入 。 


图 6-98 导入 恢复 代理 证 书 


多” 双击 second test.txt 文件 ， 能 够 打开 。 
四 ”双击 hanLG test.txt 文件 ， 提 示 拒 绝 访问 。 


| 提示: 恢复 代理 证 书 只 能 解密 那些 指定 恢复 代理 证 书 的 组 策略 应 用 以 后 的 加 密 文件 , 因此 不 能 解密 hanLG 
testtxt 文件 。 


6.4.7 ”应 该 在 何 时 加 密 文件 和 文件 夹 

如 果 你 认为 文件 或 文件 夹 拥有 Windows 可 以 提供 的 最 强 保护 措施 这 一 点 非常 重要 ， 则 应 当 对 这 些 文 
件 或 文件 夹 进行 加 密 。 由 于 加 密 文件 和 文件 夹 非常 容易 ， 因 此 可 以 尝试 加 密 所 有 的 信息 ， 但 是 应 记 住 下 而 
这 些 事项 。 
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@ Windows Server2008 了 工 了 二 二 二 


”需要 确保 备份 你 的 加 密 证 书 和 加 密 密 钥 ， 并 将 其 保存 在 安全 的 位 置 。 如 果 加 密 证 书 和 密 钥 丢失 或 
损坏 ， 你 将 无 法 再 使 用 已 加 密 的 文件 。 如 果 加 密 一 个 文件 夹 ， 则 在 该 文件 夹 中 创建 的 所 有 文件 都 
将 被 自动 加 密 。 

”其 他 想 要 访问 己 加 密 的 文件 或 文件 夹 的 用 户 必须 将 其 自己 的 加 密 文件 系统 (EFS) 证 书 添加 到 这 
些 文件 中 。 通 过 此 证 书 ， 他 们 在 你 的 计算 机 上 工作 时 即 可 访问 加 密 的 文件 或 文件 夹 。 如 果 文 件 已 
共享 ， 他 们 可 以 从 另 一 台 运行 Windows 的 计算 机 上 访问 这 些 文件 。 

于 “如果 将 某 个 文件 复制 或 移动 到 不 使 用 NTFS 文件 系统 的 计算 机 或 卷 ， 该 文件 将 被 解密 。 


6.4.8 ”移动 或 复制 对 加 密 状态 的 影响 


你 可 以 将 自己 加 密 的 文件 或 文件 夹 移动 或 复制 到 其 他 目录 ， 移 动 和 复制 操作 对 加 密 状态 的 影响 ， 分 以 


下 几 种 情况 。 


时 ”将 文件 或 文件 夹 复制 或 移动 到 加 密 状 态 的 文件 夹 ， 将 会 自动 变 成 加 密 状态 。 
a ”将 加 密 的 文件 或 文件 夹 复制 或 移动 到 其 他 NTFS 分 区 ， 加 密 状态 不 变 。 
”将 加 密 的 文件 或 文件 夹 复 制 或 移动 到 FAT32 分 区 ， 文 件 变 成 不 加 密 状态 。 


6.4.9 用 户 密码 重 设 对 EFS 的 影响 


由 管理 员 重 置 用 户 密码 或 使 用 其 他 工具 重 设计 算 机 本 地 用 户 密码 后 , EFS、 凭据 和 证 书 私 钥 将 不 可 用 。 


你 可 能 会 失去 给 用 户 的 访问 权限 。 


© 注意 ; 域 用 户 不 存在 这 个 问题 ， 也 就 是 说 域 用 户 的 密码 如 果 忘 了 ， 可 以 找 域 管理 员 重新 设置 新 的 密码 


Web 页 凭据 。 

存储 的 网 络 密码 。 

EFS 加 密 文件 。 

证 书 与 私 钥 (签名 /加 密 电 子 邮件 )。 

若 要 恢复 所 有 数据 ， 你 必须 具备 下 列 条 件 之 一 。 

里。 原始 密码 。 这 是 当 用 户 上 次 成 功 登 录 并 能 够 访问 他 们 的 凭据 和 文件 时 的 密码 。 

和 ”密码 故障 恢复 磁盘 (PRD)。 必 须 在 用 户 具有 访问 文件 权限 时 创建 的 密码 恢复 磁 枪 。 

示例 : 密码 重 设 后 EFS 不 可 解密 。 

本 示例 演示 将 Research 计算 机 上 本 地 用 户 “ 张 帅 ” 的 密码 由 P@ssw0rd 重 设 成 p@ssw0rd01 后 ， 加 密 


的 文件 不 能 访问 。 


E2121 


@@ 以 Research 计算 机 上 本 地 管理 员 登 录 ， 创 建 一 个 “ 张 帅 ” 用 户 账户 ， 登 录 名 为 zhangS， 密 码 为 
Pa@ssw0rd， 如 图 6-99 所 示 。 

以 “ 张 帅 ”账户 登录 Research 计算 机 。 

创建 一 个 文件 夹 zhangS EFS， 并 将 该 文件 夹 设 置 成 加 密 状 态 。 

在 该 文件 夹 中 创建 一 个 记事 本 文件 。 

注销 “ 张 帅 ” 用 户 。 


加 
@ 
@ 
© 
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以 Research 计算 机 本 地 管理 员 登 录 ， 右 击 “ 张 帅 ” 用 户 账 户 ， 在 弹出 的 快捷 菜单 中 选择 “设置 密 
码 ” 命 令 ， 在 出 现 的 “为 ZhangS 设置 密码 ”对 话 框 中 ， 单 击 “ 继 续 ” 按 钮 ， 如 图 6-100 所 示 。 
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6-99 创建 一 个 新 用 户 图 6-100 重 设 密码 时 的 提示 


提示 : “ 重 设 此 密码 可 能 会 造成 不 可 逆 的 用 户 账户 信息 丢失 。 出 于 安全 原因 ，Windows 通过 相应 的 信息 
在 重 设 用 户 的 密码 后 不 可 访问 来 进行 保护 。 在 下 次 用 户 注销 时 将 发 生 此 数据 丢失 。 你 只 有 在 用 户 忘记 了 
密码 并 且 没有 密码 重 设 盘 的 情况 下 才 可 以 使 用 此 命令 。 如 果 此 用 户 创建 了 密码 重 设 盘 ， 他 应 该 使 用 磁盘 
来 重 设 密码 。 如 果 用 户 知道 密码 ， 只 是 想 更 改 它 ， 用 户 应 该 登录 ， 按 CtrltAlttDel 组 合 键 ， 然 后 单 击 “更 
改 密码 ”按钮 


在 出 现 的 重 设 密码 对 话 框 中 ， 输 入 新 密码 p@ssw0rd01， 单 击 “ 确 定 ” 按 钮 。 

注销 管理 员 ， 以 “ 张 帅 ” 的 账户 登录 Research。 

双击 加 密 的 文件 ， 系 统 提示 “拒绝 访问 ”， 如 图 6-101 所 示 。 

按 Ctrl+AltrDel 组 合 键 ， 单 击 “ 更 改 密码 ”按钮 。 输 入 旧 密 码 p@ssw0rd01， 新 密码 P@ssw0rd 。 
单 击 鲜 按钮 ， 将 密码 更 改 为 加 密 时 的 密码 。 

再 次 双击 加 密 的 文件 ， 成 功 打开 ， 如 图 6-102 所 示 。 


(RORONS) 
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图 6-101 重 设 密码 后 不 能 解密 以 前 加 密 的 文件 图 6-102 更 改 回 原来 的 密码 后 就 能 解密 
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6.5.1 


件 夹 中 。 
示例 : 启用 对 文件 夹 的 压缩 。 
@ 在 Research 计算 机 上 创建 一 个 “安装 文件 ” 
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注意 : 如 果 加 入 域 后 的 计算 机 ， 默 认 的 安全 策略 不 允许 立即 更 改 密码 ， 在 更 改 密码 时 会 提示 不 符合 密码 
策略 。 可 以 在 DCServer 计算 机 上 修改 组 策略 ， 允 许 用 户 能 够 立即 更 改 密码 。 


6.5 压 缩 


可 以 对 文件 、 文 件 夹 或 整个 卷 进行 压缩 。 NTFS 文件 系统 的 压缩 过 程 和 解压 过 程 对 用 户 是 完全 透明 的 ， 
压缩 前 和 压缩 后 的 文件 在 使 用 上 没有 不 同 。 


说 明 


当 把 一 个 未 压缩 的 文件 或 文件 夹 复制 到 一 个 压缩 的 文件 夹 或 卷 中 时 ， 会 自动 压缩 。 

NTFS 压缩 和 EFS 加 密 不 能 同时 使 用 ， 所 以 对 于 需要 加 密 的 文件 或 文件 夹 不 要 压缩 。 

在 同一 个 NTFS 卷 中 , 当 把 一 个 压缩 的 文件 或 文件 夹 复制 到 一 个 未 压缩 的 文件 夹 或 卷 中 时 , 其 状 
态 仍 为 压缩 。 

在 不 同 NTFS 卷 间 ， 当 把 一 个 压缩 的 文件 或 文件 夹 复制 到 一 个 未 压缩 的 文件 夹 或 卷 中 时 , 会 自动 
解压 。 

当 一 个 压缩 的 文件 从 NTFS 卷 移动 或 复制 到 FAT 卷 时 将 自动 解压 。 


压缩 文件 夹 


你 可 以 将 不 常用 的 文件 放 到 设置 成 压缩 状态 的 文 


文件 夹 ， 在 “安装 文件 ”文件 夹 中 创建 一 个 图 
片 文件 photo.bmp， 单 击 “ 编 辑 ” 按 钮 ， 随 便 
画 一 些 内 容 ， 保 存 。 

右 击 该 文件 夹 ， 在 弹出 的 快捷 菜单 中 选择 “ 属 
性 ”命令 ， 打 开 文件 属性 对 话 框 。 在 “常规 ” 
选项 卡 中 ， 单 击 “ 高 级 ”按钮 ， 在 “高 级 属性 ” 
对 话 框 中 , 选中 “压缩 内 容 以 便 节 省 磁盘 空间 ” 
复 选 框 ， 单 击 “确定 ”按钮 ， 如 图 6-103 所 示 。 图 6-101 压缩 文件 夹 
打开 如 图 6-104 所 示 的 对 话 框 ， 选 中 “将 更 改 

应 用 于 此 文件 夹 ， 子 文件 夹 和 文件 ” 单 选 按 钮 。 单 击 “ 确 定 ” 按 钮 。 

如 图 6-105 所 示 ， 右 击 “ 安 装 文件 ”文件 夹 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 打开 该 文件 
的 属性 对 话 框 。 切 换 到 “常规 ”选项 卡 ， 查 看 文件 的 大 小 和 占用 的 空间 。 


© 注意 ; 你 不 能 同时 选择 压缩 和 加 密 。 观 察 压缩 的 文件 来 变 成 了 蓝 色 。 
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图 6-104 压缩 子 文件 夹 和 文件 图 6-105 压缩 后 文件 的 实际 大 小 和 占用 空间 


6.5.2 ”压缩 整个 磁盘 
你 可 以 将 整个 NTFS 分 区 的 磁盘 设置 成 压缩 状态 。 
© 注意 ; 如 果 将 整个 磁盘 分 区 设置 成 压缩 状态 ， 该 磁盘 分 区 不 能 有 加 密 的 文件 类 和 文件 。 


示例 ;将 磁盘 分 区 设置 压缩 状态 。 


加 右 击 磁盘 分 区 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 。 
@ 在 磁盘 属性 对 话 框 的 “常规 ”选项 卡 中 , 选中 “压缩 此 驱动 器 以 节约 磁盘 空间 ” 复 选 框 , 如 图 6-106 
所 示 ， 单 击 “ 确 定 ”按钮 。 


图 6-106 ”压缩 整个 磁盘 


6.5.3 ”移动 或 复制 对 压缩 状态 的 影响 
只 有 在 文件 夹 中 创建 新 文件 或 文件 夹 时 才 继承 目标 文件 夹 的 压缩 状态 。 同 分 区 移动 ， 文 件 或 文件 来 没 
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@ Windows Server2008 了 工 工 二 二 
有 改变 在 磁盘 上 的 存储 位 置 ， 只 是 改变 了 文件 的 访问 路 径 ， 因 此 不 继承 目标 文件 夹 的 状态 ; 不 同 分 区 移动 ， 
实际 上 是 复制 文件 或 文件 夹 到 新 位 置 后 删除 源 文件 的 过 程 ， 因 此 继承 目标 文件 夹 的 压缩 状态 。 
这 里 共有 三 种 情况 ， 同 一 NTFS 分 区 、 不 同 NTFS 分 区 以 及 FAT 分 区 ， 如 表 6-2 所 示 。 


表 6-2 移动 或 复制 对 压缩 状态 的 影响 


同一 NTFS 分 区 不 同 NTFS 分 区 FAT 分 区 
复制 继承 目标 文件 (类) 压缩 状态 继承 目标 文件 ( 夹 ) 权 限 压缩 状态 丢失 


移动 保留 源 文件 ( 夹 ) 压 缩 状态 继承 目标 文件 ( 夹 ) 压 缩 状态 压缩 状态 丢失 


6.6 磁盘 限额 


文件 服务 器 是 支持 多 用 户 使 用 的 ， 使 用 磁盘 限额 可 以 为 文件 服务 器 的 磁盘 指定 每 个 账户 用 多 大 磁盘 空 
间 ， 这 样 可 以 避免 某 个 用 户 把 磁盘 空间 耗 完 。 


6.6.1 给 所 有 用 户 设置 统一 的 磁盘 配额 


示例 : 在 FileServer 上 实现 磁盘 限额 。 

@ 以 域 管理 员 身 份 登录 FileServer 计算 机 。 

@ 双击 “计算 机 ”图 标 ， 右 击 “ 磁 稚 ”， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 如 图 6-107 所 示 ， 
切换 到 “配额 ”选项 卡 。 

@ ”分 别 选中 “启用 配额 管理 ”和 “拒绝 将 磁 稻 空间 给 超过 配额 限制 的 用 户 ” 复 选 框 ， 将 磁盘 空间 限 
制 为 500MB。 警 告 等 级 设置 为 450MB。 单 击 “ 确 定 ” 按 钮 。 


(@) 注意 ， 磁 盘 配 额 默认 对 管理 员 不 起 作用 。 
图 “注销 管理 员 ， 以 韩 立 刚 用 户 账户 登录 。 如 图 6-108 所 示 ， 双 击 桌 面 上 的 “计算 机 ” 图标， 打开 “ 计 


算 机 ”窗口 可 以 看 到 EE 分 区 大 小 为 499MB。 在 下 分 区 属性 对 话 框 中 , 可 以 看 到 这 个 用 户 的 可 用 空 
间 和 已 用 空间 。 
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图 6-107 启用 磁盘 配额 图 6-108 ”确认 磁盘 配额 
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提示 : 用 户 的 已 用 空间 是 根据 文件 的 所 有 者 来 计算 每 个 用 户 的 已 用 空间 的 。 如 果 有 压缩 的 文件 或 文件 来， 
”其 已 用 空间 是 用 未 压缩 状态 来 计算 的 。 


6.6.2 ”给 个 别 用 户 设置 特定 大 小 的 磁盘 配额 


设置 完 磁盘 配额 后 ， 可 能 需要 给 某 特定 的 用 户 账户 指定 特定 大 小 的 配额 。 
示例 : 给 韩 立 刚 用 户 账户 指定 1GB 的 磁盘 限额 。 
中 ”以 域 管理 员 登 录 FileServer， 在 E 分 区 属性 对 话 框 的 “配额 ”选项 卡 中 ， 单 击 “ 配 额 项 ”按钮 。 


G 提示 : 注意 观察 Administrators 组 无 限制 。 


@ 双击 “ 韩 立 刚 ”账户 ， 在 随后 打开 的 对 话 框 中 可 以 设置 该 用 户 账户 的 磁盘 配额 ， 如 图 6-109 所 示 。 


图 6-109 为 特定 用 户 指定 特定 大 小 的 配额 


6.7 卷 影 副本 


共享 文件 夹 的 卷 影 副本 提供 位 于 共享 资源 (如 文件 服务 器 ) 上 的 实时 文件 副本 。 通 过 使 用 共享 文件 夹 的 卷 
影 副 本 ， 用 户 可 以 查看 在 过 去 某 个 时 刻 存在 的 共享 文件 和 文件 夹 。 访 问 文件 的 以 前 版 本 或 卷 影 副本 非常 有 
， 原 因 如 下 。 

于 ”恢复 意外 删除 的 文件 。 如 果 你 意外 删除 了 某 个 文件 ， 则 可 以 打开 前 一 版 本 ， 然 后 将 其 复制 到 安全 
的 位 置 。 

于 恢复 意外 覆盖 的 文件 。 如 果 你 意外 覆盖 了 某 个 文件 ， 则 可 以 恢复 该 文件 的 前 一 版 本 。 

时。 在 处 理 文件 的 同时 对 文件 版 本 进行 比较 。 当 你 希望 检查 一 个 文件 的 两 个 版 本 之 间 发 生 的 更 改 时 ， 
可 以 使 用 以 前 的 版 本 。 


里。 当 你 恢复 文件 时 ， 文 件 权限 不 会 更 改 。 权 限 在 恢复 前 后 没有 变化 。 当 你 恢复 一 个 意外 删除 的 文件 
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时 ， 文 件 权限 将 被 设 为 该 目录 的 默认 权限 。 

创建 卷 影 副本 不 能 替代 创建 常规 备份 。 

当 存 储 区 域 达 到 限制 值 之 后 ,系统 将 删除 最 旧 的 卷 影 副本 ,从 而 留 出 空间 以 便 创 建 更 多 卷 影 副本 。 
删除 卷 影 副本 之 后 ， 将 无 法 检索 该 副本 。 

可 以 调整 存储 位 置 、 空 间 分 配 和 计划 以 适合 用 户 需要 。 在 “本 地 磁盘 属性 ”页 面 的 “ 卷 影 副本 ” 
选项 卡 中 ， 单 击 “ 设 置 ” 按 钮 。 

每 个 卷 上 最 多 可 以 存储 64 个 卷 影 副本 。 达 到 该 限制 值 之 后 ， 将 删除 最 旧 的 卷 影 副本 ， 因 此 将 无 
法 检索 该 副本 。 

卷 影 副本 是 只 读 的 。 不 能 编辑 卷 影 副 本 的 内 容 。 

只 能 针对 每 个 卷 启 用 共享 文件 夹 的 卷 影 副 本 ， 也 就 是 说 ， 不 能 在 卷 上 选择 要 进行 复制 或 不 进行 复 
制 的 特定 共享 文件 夹 和 文件 。 


启用 和 配置 “共享 文件 夹 的 卷 影 副本 ” 


只 能 以 卷 为 单位 启用 共享 文件 夹 的 卷 影 副 本 ， 也 就 是 说 ， 不 能 单独 指定 要 复制 或 不 复制 卷 上 的 特定 共 
享 文件 夹 和 文件 。 此 外 ， 不 应 使 用 此 功能 来 创建 操作 系统 正确 运行 所 需 的 文件 卷 影 副本 。 
示例 : 启用 和 配置 共享 文件 夹 的 卷 影 副本 。 
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以 管理 员 的 账户 登录 FileServer。 

在 E 卷 上 创建 “研发 图 纸 ”， 共 享 ， 设 置 共 享 权限 : Everyone 为 参与 者 。 

依次 选择 “开始 ”一 “管理 工具 ”命令 ， 然 后 单 击 “ 计 算 机 管理 ”选项 。 

如 图 6-110 所 示 ， 在 控制 台 树 中 ， 右 击 “ 共 享 文件 夹 ”。 在 弹出 的 快捷 菜单 中 选择 “所 有 任务 ” 
一 “配置 卷 影 副 本 ”命令 。 

如 图 6-111 所 示 ， 在 出 现 的 “ 卷 影 副本 ”对 话 框 中 ， 选 择 眉 卷 ， 单 击 “ 设 置 ”按钮 。 
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图 6-110 ”配置 卷 影 副本 图 6-111 设置 卷 影 副本 


@ 如 图 6-112 所 示 ， 在 出 现 的 “设置 ”对 话 框 中 ， 指 定 卷 影 副本 存储 位 置 以 及 大 小 。 
加 单 击 “ 计 划 ” 按 钮 ， 可 以 新 建 或 修改 创建 卷 影 副本 的 计划 ， 如 图 6-113 所 示 。 


第 6 章 利用 NTFS 管 理 数据 
© 注意 : 郑 影 副本 会 根据 日 程 安排 定时 创建 ， 现 在 做 测试 ， 可 以 通过 单 击 “ 立 即 创建 ”按钮 立刻 产生 副本 。 
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图 6-112 指定 卷 影 副本 的 存储 位 置 和 大 小 图 6-113 ”设置 创建 卷 影 副本 的 计划 


单 击 “ 确 定 ”按钮 ， 然 后 单 击 “ 启 用 ”按钮 。 

@ ”如 图 6-114 所 示 ， 在 E 答 上 “研发 图 纸 ” 文 件 夹 中 创建 test.bmp 文件 并 保存 。 

@@ 如 图 6-115 所 示 ， 右 击 E 答 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 在 打开 的 “新 加 卷 属性 ” 
对 话 框 中 ， 切 换 到 “ 卷 影 副 本 ”选项 卡 ， 单 击 “ 立 即 创建 ”按钮 。 
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图 6-114 创建 一 个 画图 文件 并 保存 图 6-115 ”立即 创建 卷 影 副本 


6.7.2 ”在 本 地 找到 以 前 版 本 的 文件 或 文件 夹 


现在 对 testbmp 进行 编辑 并 保存 ， 然 后 还 原 到 以 前 的 状态 。 
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演示 : 还 原 以 前 版 本 的 文件 或 文件 夹 。 


@@ 打开 test.bmp 文件 ， 如 图 6-116 所 示 ， 编 辑 并 保存 。 
加 如 图 6-117 所 示 ， 右 击 E 盘 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 在 打开 的 对 话 框 中 ， 切 换 
到 “以 前 的 版 本 ”选项 卡 。 可 以 看 到 刚刚 创建 的 版 本 ， 单 击 “ 打 开 ” 按 钮 。 


图 6-116 编辑 并 保存 画图 图 6-117 查看 卷 的 以 前 版 本 
@ ”如 图 6-118 所 示 ， 双 击 testbmp 可 以 看 到 以 前 的 版 本 。 你 可 以 复制 到 其 他 地 方 。 


图 6-118 ”以 前 的 版 本 


6.7.3 ”从 共享 文件 夹 中 恢复 数据 


在 Research 计算 机 访问 FileServer 计算 机 上 的 共享 文件 “研发 图 纸 ”， 并 能 够 还 原 到 以 前 的 版 本 。 删 
除 文件 test.bmp， 再 还 原 删除 的 文件 。 
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第 6 章 利用 NTFS 管 理 数据 


示例 : 从 共享 文件 夹 中 恢复 数据 。 

名 ”以 域 管理 员 的 身份 登录 到 Research 计算 机 。 

回 选择 “开始 ”一 “运行 ”命令 ， 如 图 6-119 所 示 ， 输 入 \\fileServer， 单 击 “确定 ”按钮 ， 打 开 共 
享 的 “研发 图 纸 ”文件 夹 。 右 击 testbmpP， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 在 属性 对 话 
框 的 “以 前 的 版 本 ”选项 卡 中 ， 可 以 看 到 以 前 的 版 本 。 你 可 以 还 原 、 复 制 或 打开 该 文件 。 
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图 6-119 ”查看 文件 的 以 前 版 本 


@ ”删除 test.bmp 文件 。 

@ 如 图 6-120 所 示 ， 右 击 “研发 图 纸 ” 文 件 夹 ， 在 弹出 的 快捷 菜单 中 选择 “还 原 以 前 的 版 本 ”命令 。 
在 打开 的 “研发 图 纸 属性 ”对 话 框 中 选中 上 一 时 间 创 建 的 副本 ， 单 击 “ 打 开 ” 按 钮 。 

回 如 图 6-121 所 示 ， 能 够 找到 以 前 版 本 的 testbmp 文件 。 
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图 6-120 查看 共享 文件 夹 的 以 前 版 本 图 6-121 可 以 看 到 删除 的 文件 


6.7.4 ”共享 文件 夹 的 卷 影 副本 的 最 佳 操作 
共享 文件 夹 的 卷 影 副本 的 最 佳 操作 如 下 。 
[221 1 
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在 另 一 个 磁盘 上 选择 一 个 单独 的 卷 作为 卷 影 副本 的 存储 区 域 。 

在 未 进行 卷 影 复制 的 磁盘 上 选择 一 个 存储 区 域 。 如 果 使 用 另 一 个 磁盘 上 单独 的 卷 ， 将 不 会 发 生 高 
1/O 负载 而 导致 卷 影 副本 被 删除 ， 而 且 会 大 大 提高 性 能 。 对 于 使 用 率 高 的 服务 器 ， 这 是 推荐 的 
配置 。 

考虑 在 启用 共享 文件 夹 的 卷 影 副 本 并 设置 计划 选项 之 前 客户 端 使 用 共享 资源 的 方式 。 

调整 卷 影 副本 计划 以 适合 客户 端的 工作 模式 。 

不 要 在 使 用 装 入 点 的 卷 上 启用 卷 影 副本 。 

当 获 取 卷 影 副 本 时 ， 安 装 的 驱动 器 将 不 包括 在 内 。 仅 在 没有 装 入 点 的 卷 上 启用 卷 影 副本 ， 或 者 在 
不 希望 对 安装 卷 上 的 共享 资源 进行 卷 影 复制 时 启用 卷 影 副 本 。 

对 文件 服务 器 执行 常规 备份 。 

共享 文件 夹 的 卷 影 副 本 不 能 替代 执行 常规 备份 。 将 备份 实用 程序 和 共享 文件 夹 的 卷 影 副 本 结合 
用 ， 作 为 最 佳 恢复 准备 。 

不 要 将 副本 计划 为 每 小 时 发 生 多 次 。 

创建 卷 影 副本 的 默认 计划 是 周一 到 周 五 的 早上 7:00 和 中 午 。 如 果 决 定 要 更 频繁 地 获取 副本 ， 应 
确认 已 分 配 了 足够 的 存储 空间 ， 以 及 复制 频率 不 会 导致 服务 器 性 能 降低 。 另 外 ， 还 有 一 个 上 限 ， 
即 每 个 卷 最 多 可 以 存储 64 个 副本 , 达到 这 个 限制 之 后 将 删除 最 旧 的 副本 。 如 果 获 取 卷 影 副 本 太 过 
频繁 ， 可 能 会 很 快 达到 该 限制 值 ， 时 间 较 时 的 副本 也 会 很 快 丢 失 。 

在 删除 进行 卷 影 复制 的 卷 之 前 ， 要 先 删 除 用 于 创建 卷 影 副本 的 计划 任务 。 

如 果 在 没有 删除 卷 影 副 本 任务 的 情况 下 删除 卷 ， 计 划 任 务 就 会 失败 ， 事 件 日 志 中 就 会 写 入 一 个 事 
件 ID 为 7001 的 错误 。 在 删除 卷 之 前 先 删除 任务 ， 可 避免 事件 日 志 中 写 入 这 些 错误 。 

在 格式 化 将 要 启用 共享 文件 夹 的 卷 影 副本 的 源 卷 时 ， 使 用 16KB 或 更 大 的 分 配 单元 。 

如 果 计 划 对 启用 共享 文件 夹 的 卷 影 副本 的 源 卷 进行 磁盘 碎片 整理 ， 建 议 在 初次 对 源 卷 进行 格式 化 
时 ， 将 群集 分 配 单元 的 大 小 设 为 16 KB 或 更 大 。 如 果 不 这 样 做 ， 由 磁 稚 碎片 整理 导致 的 更 改 数 量 
可 能 会 导致 以 前 版 本 的 文件 被 删除 。 


通过 配置 分 布 式 文件 系统 [DFS])， 将 分 散 的 网 络 资 
源 逻 辑 地 整合 到 一 台 计 算 机 ,可 以 简化 访问 者 的 访问 ， 
同时 通过 配置 复制 也 能 实现 对 分 支 办 公 室 的 支持 ， 实 
现 数据 在 多 个 服务 器 上 的 同步 。 

通过 配置 ， 用 户 可 以 脱 机 使 用 文件 服务 器 上 的 
文件 夹 。 

安装 文件 服务 器 角色 后 能 够 限制 文件 夹 大 小 以 及 
文件 夹 中 存放 文件 的 类 型 。 


和 @ 关键 记 
理解 哪些 身份 能 够 共享 
学 会 设置 共享 权限 
享 
学 会 隐 含 共享 资源 
能 够 访问 隐 合 含 共享 的 文件 夹 
能 够 访问 默认 共享 
学 会 配置 分 布 式 文件 系统 (DFS) 


设计 分 布 式 文件 系统 

脱 机 使 用 文件 夹 

限制 文件 夹 的 大 小 

限制 文件 夹 存 放 的 文件 类 型 


@ Windows Server 2008 7 于 一。 


7.1 文件 共享 基础 


可 以 通过 几 种 不 同 的 方式 共享 文件 和 文件 夹 。Windows 中 最 常用 的 共享 文件 方式 是 直接 通过 计算 
机 共享 。 


7.1.1 Windows Server 2008 共享 方式 


Windows 提供 了 共享 文件 夹 的 两 种 方法 : 通过 计算 机 上 的 任何 文件 夹 或 公用 文件 夹 共 享 文件 。 

使 用 哪 种 方法 取决 于 保存 的 共享 文件 夹 的 位 置 ， 要 与 哪些 用 户 共享 ， 以 及 对 共享 文件 的 控制 程度 。 这 
两 种 方法 均 可 实现 与 使 用 本 地 计算 机 或 同一 网 络 中 其 他 计算 机 的 用 户 共享 文件 或 文件 夹 。 

1. 通过 计算 机 上 的 任何 文件 夹 共享 文件 

通过 这 种 共享 方法 ， 可 以 决定 哪些 人 可 以 更 改 共享 文件 ， 以 及 可 以 做 什么 类 型 的 更 改 (如 果 有 )。 可 以 
通过 设置 共享 权限 进行 操作 。 可 以 将 共享 权限 授予 同一 网 络 中 的 单个 用 户 或 一 组 用 户 。 例 如 ， 可 以 允许 某 
些 人 只 能 查看 共享 文件 ， 而 允许 其 他 人 既 可 查看 又 能 更 改 这 些 文件 。 采 用 这 种 方式 共享 用 户 将 只 能 看 到 与 
其 共享 的 那些 文件 夹 。 

当 使 用 同一 网 络 中 的 其 他 计算 机 时 ， 还 可 以 使 用 此 共享 方法 来 访问 共享 文件 ， 因 为 用 户 可 以 通过 其 他 
计算 机 查看 与 其 他 人 共享 的 任何 文件 。 

2. 通过 计算 机 上 的 公用 文件 夹 共享 文件 

通过 这 种 共享 方法 ， 可 将 文件 复制 或 移动 到 公用 文件 夹 中 ， 并 通过 该 位 置 共享 文件 。 如 果 打 开 公 用 文 
件 夹 的 文件 共享 ， 本 地 计算 机 上 具有 用 户 账户 和 密码 的 任何 人 ， 以 及 网 络 中 的 所 有 人 ， 都 可 以 看 到 公用 文 
件 夹 和 子 文件 夹 中 的 所 有 文件 。 使 用 这 种 共享 方式 不 能 限制 用 户 只 能 查看 公用 文件 夹 中 的 某 些 文件 。 但 是 ， 
可 以 设置 权限 ， 以 完全 限制 用 户 访问 公用 文件 夹 ， 或 限制 用 户 更 改 文件 或 创建 新 文件 。 

另外 ， 还 可 以 设置 密码 保护 的 共享 。 这 使 得 只 有 具有 计算 机 的 用 户 账户 和 密码 的 用 户 才 有 具有 对 公用 文件 
夹 的 网 络 访问 权限 。 在 默认 情况 下 ， 将 关闭 对 公用 文件 夹 的 网 络 访问 ， 除 非 启用 它 。 

3. 哪些 用 户 能 够 共享 文件 夹 


和 ”Administrators 组 的 账号 可 以 设置 共享 。 
里 Poweruser 组 的 账号 也 可 以 设置 共享 文件 夹 。 
里 “普通 用 户 没 有 权限 设置 共享 。 


7.1.2 ”使 用 哪 种 共享 方法 


在 决定 通过 任何 文件 夹 共享 文件 或 通过 公用 文件 夹 共享 文件 时 ， 有 几 个 因素 需要 考虑 。 

以 下 情况 可 考虑 通过 任何 文件 夹 共享 。 

里 ”你 倾向 于 直接 从 文件 的 保存 位 置 (一 般 是 Documents、Pictures 或 Music 文件 夹 ] 共 享 文件 夹 , 且 
希望 避免 将 其 保存 到 公用 文件 夹 中 。 
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于 “你 希望 能 够 为 网 络 中 的 单个 用 户 而 不 是 每 个 人 设置 共享 权限 ， 向 某 些 人 授予 更 多 或 更 少 访问 权限 
(或 无 任何 访问 权限 )。 

”你 需要 共享 大 量 数 字 图 片 、 音 乐 或 其 他 大 文件 ， 而 将 这 些 文件 复制 到 单独 的 共享 文件 夹 很 麻烦 ， 
并 且 不 希望 这 些 文件 在 计算 机 上 的 两 个 不 同位 置 占用 空间 。 

至 你 经 常 创建 新 文件 或 更 新 文件 进行 共享 ， 并 认为 将 其 复制 到 公用 文件 夹 很 麻烦 。 

以 下 情况 可 考虑 通过 公用 文件 夹 共享 。 

至 你 喜欢 通过 计算 机 的 单个 位 置 共享 文件 和 文件 夹带 来 的 方便 。 

和 ”你 希望 只 通过 查看 公用 文件 夹 即 可 快速 查看 与 其 他 人 共享 的 所 有 文件 。 

和 ”你 希望 将 共享 的 文件 与 自己 的 Documents、Music 和 Pictures 文件 夹 分 开 。 

至。 你 希望 为 网 络 上 所 有 人 设置 共享 权限 ， 而 不 必 为 单个 用 户 设置 共享 权限 。 


7.1.3 与 共享 相关 的 服务 


如 图 7-1 所 示 ， 如 果 取消 选中 本 地 连接 “Microsoft 网 络 客户 端 ” 复 选 框 ， 则 该 计算 机 不 能 访问 其 他 服 
务 器 上 的 共享 资源 。 

如 果 取 消 选中 “Microsoft 网 络 的 文件 和 打印 机 共享 ” 复 选 框 ， 则 其 他 计算 机 不 能 从 这 块 网 卡 访问 该 计 
算 机 的 共享 文件 夹 和 打印 机 。 

如 图 7-2 所 示 ，Proxy 服务 器 连接 Internet 和 内 网 ， 同 时 还 共享 了 一 个 文件 夹 供 内 网 用 户 使 用 。 若 不 
想 让 Internet 的 用 户 访问 Proxy 共享 文件 夹 ， 需 要 将 “Internet 连接 ”取消 选中 “Microsoft 网 络 的 文件 和 
打印 机 共享 ” 复 选 枉 ，“ 内 部 连接 ”选项 保留 ， 那 么 内 网 的 计算 机 就 能 通过 “内 部 连接 ”访问 Proxy 服务 
器 上 的 共享 文件 来， 而 Internet 上 的 用 户 不 能 通过 “Internet 连接 ”访问 该 服务 器 上 的 共享 文件 来， 这 样 
可 以 保证 Proxy 服务 器 的 安全 。 
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图 7-1 与 共享 有 关 的 设置 图 7-2 网 络 示意 图 


7.1.4 共享 权限 和 NTFS 权限 


1. 共享 权限 
共享 权限 有 三 种 : 读者 、 参 与 者 和 所 有 者 。 
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@ Windows Server 2008 下 二 二 二 荆 二 


© 注意 : 共享 权限 只 对 从 网 络 访问 该 文件 夹 的 用 户 起 作用 ， 而 对 于 本 机 登录 的 用 户 不 起 作用 . 


2. NTFS 权限 


NTFS 权限 是 NT 和 Windows 2000、Windows 2008 中 的 文件 系统 的 权限 ， 它 支持 本 地 安全 性 。 换 句 
话说 ， 它 在 同一 台 计算 机 上 以 不 同 用 户 名 登录 ， 对 硬盘 上 同一 文件 夹 可 以 有 不 同 的 访问 权限 。 


© 注意 : NTFS 权限 对 从 网 络 访问 和 本 机 登录 的 用 户 都 起 作用 . 


3. 共享 权限 和 NTFS 权限 的 联系 和 区 别 
共享 权限 是 基于 文件 夹 的 ， 也 就 是 说 用 户 只 能 够 在 文件 夹 上 而 不 可 能 在 文件 上 设置 共享 权限 ;NTFS 
权限 是 基于 文件 的 ， 用 户 既 可 以 在 文件 夹 上 设置 也 可 以 在 文件 上 设置 。 


共享 权限 只 有 当 用 户 通 过 网 络 访问 共享 文件 夹 时 才 起 作用 ， 如 果 用 户 是 本 地 登录 计算 机 则 共享 权限 不 
起 作用 ; NTFS 权限 无 论 用 户 是 通过 网 络 还 是 本 地 登录 使 用 文件 都 会 起 作用 ,只 不 过 当 用 户 通过 网 络 访问 文 
件 时 它 会 与 共享 权限 联合 起 作用 ， 规 则 是 取 最 严格 的 权限 设置 。 

共享 权限 与 文件 操作 系统 无 关 ， 只 要 设置 共享 就 能 够 应 用 共享 权限 ; NTFS 权限 必须 是 NTFS 文件 系统 ， 
否则 不 起 作用 。 

共享 权限 只 有 三 种 : 读者 、 参 与 者 和 所 有 者 ; NTFS 权限 有 许多 种 ， 如 读 、 写 、 执 行 、 修 改 及 完全 控制 
等 。 我 们 可 以 进行 非常 细致 的 设置 。 

4. 共享 权限 和 NTFS 权限 的 特点 

里 ”不管 是 共享 的 权限 还 是 NTFS 权限 都 有 累加 性 。 

里 “不管 是 共享 权限 还 是 NTFS 权限 都 遵循 “拒绝 ”权限 优先 于 其 他 权限 。 

当 一 个 账户 通过 网 络 访问 一 个 共享 文件 夹 ， 而 这 个 文件 夹 又 在 一 个 NTFS 分 区 上 ， 那 么 用 户 最 终 的 权 
限 是 它 对 该 文件 夹 的 共享 权限 与 NTFS 权限 中 最 为 严格 的 权限 。 如 : 一 个 人 要 进 一 个 院子 ， 两 道门 都 开 才 
能 进去 ， 门 就 好 像 是 权限 。 


7.1.5 ”默认 共享 


在 Windows 2000/XP/2003/2008 系统 中 , 逻辑 分 区 与 Windows 目录 默认 为 共享 , 这 是 为 管理 员 管理 
服务 器 的 方便 而 设 的。 其 权限 不 能 更 改 。 


7.2 实战 1: 共享 和 访问 共享 文件 来 


7.2.1 任务 1: 共享 文件 来 


在 FileServer 服务 器 上 创建 “研发 图 纸 ” 文 件 夹 ， 设 置 共享 权限 为 : “研发 人 员 ” 为 读者 ， 归 档 员 “ 张 
京 灵 ” 用 户 账户 为 参与 者 。 
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中 ”以 域 管理 员 身 份 登录 FileServer。 

@ 在 E 分 区 创建 “研发 图 纸 ” 文 件 夹 。 

@ ” 右 击 该 文件 来， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 。 

@ 如 图 7-3 所 示 ， 在 出 现 的 “研发 图 纸 属性 ”对 话 框 的 “共享 ”选项 卡 中 ， 单 击 “ 共 享 ” 按 钮 。 
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图 7-3 打开 共享 向 导 


@ 在 弹出 的 “文件 共享 ”对 话 框 中 ， 从 下 拉 列 表 框 中 选择 “查找 ”。 

如 图 7-4 所 示 ， 在 出 现 的 “选择 用 户 或 组 ”对 话 框 中 ， 输 入 “研发 人 员 ”， 单 击 “ 确 定 ” 按 钮 。 

@ 再 次 单 击 下 拉 列 表 框 右 侧 的 下 三 角 按钮 ， 选 择 “ 查 找 ” 选 项 ， 输 入 “ 张 京 灵 ”， 单 击 “ 确 定 ” 
按钮 。 

如 图 7-5 所 示 ， 单 击 “ 张 京 灵 ”， 将 其 权限 级 别 设置 为 “参与 者 ”。 
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图 7-4 查找 域 中 的 组 图 7-5 设置 共享 权限 


@ 如 图 7-6 和 图 7-7 所 示 ， 在 文件 夹 的 “研发 图 纸 属性 ”对 话 框 的 “安全 ”选项 卡 中 ， 可 以 看 到 张 
京 灵 和 研发 人 员 已 经 被 授予 能 够 实施 共享 权限 必要 的 NTFS 权限 。 
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图 7-6 查看 NTFS 权限 图 7-7 查看 研发 人 员 的 NTFS 权限 


任务 2: 停止 共享 


右 击 共享 的 “研发 图 纸 ” 文 件 夹 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 。 
如 图 7-8 所 示 ， 在 “研发 图 纸 属性 ”对 话 框 的 “共享 ”选项 卡 中 ， 单 击 “ 共 享 ”按钮 。 
如 图 7-9 所 示 ， 在 出 现 的 “文件 共享 ”对 话 框 中 ， 选 中 “停止 共享 ” 单 选 按钮 ， 单 击 “ 完 成 ” 


图 7-8 更 改 共享 图 7-9 停止 共享 


如 图 7-10 所 示 , 再 次 查看 该 文件 夹 的 NTFS 权限 , 可 以 发 现 已 经 共享 时 添加 的 “研发 人 员 ” 和 “ 张 
京 灵 ”对 该 文件 夹 的 授权 已 经 取消 。 
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图 7-10 再 次 查看 共享 权限 


7.2.3 任务 3: 高 级 共享 


使 用 高 级 共享 的 更 多 设置 


@ 如 图 7-11 所 示 ， 在 “研发 图 纸 属性 ”对 话 框 的 “共享 ”选项 卡 中 ， 单 击 “ 高 级 共享 ”按钮 。 
@@ 如 图 7-12 所 示 ， 在 “高 级 共享 ”对 话 框 中 ， 选 中 “共享 此 文件 夹 ” 复 选 框 ， 输 入 共享 名 “研发 资 
料 ”， 指 定 并 发 连接 该 共享 文件 夹 的 用 户 数量 : 100， 单 击 “ 权 限 ” 按 钮 。 


( 轩 尖 ， 关 可 名 在 计算 机 上 必须 唯一 ， 不 能 以 相同 的 名 称 共享 多 个 文件 天 共享 名 可 以 和 文件 天 名 各 不 
要 
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图 7-11 打开 高 级 共享 7-12 设置 共享 权限 和 并 发 连接 数 


@ 在 出 现 的 如 图 7-13 所 示 的 对 话 框 中 ， 删 除 Everyone 用 户 的 读 取 权 限 ， 添 加 “研发 人 员 ”， 授 予 
读 取 权限 ， 添 加 “ 张 京 灵 ”， 授 予 更 改 和 读 取 权 限 ， 单 击 “ 确 定 ” 按 钮 ， 完 成 共享 设置 。 添 加 域 


[229 1 


管理 员 读 取 权 限 。 
@@ ”打开 研发 资料 属性 的 “安全 ”选项 卡 ， 发 现 使 用 高 级 共享 后 ，NTFS 权限 并 没有 改变 ， 如 图 7-14 
所 示 。 需 要 单独 设置 “ 张 京 灵 ” 和 “研发 人 员 ” 的 NTFS 权限 。 
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7-13 更改 共享 权限 7-14 ”再 次 检查 NTFS 权限 


7.2.4 任务 4: 创建 隐 含 共享 的 文件 夹 


一 个 文件 夹 可 以 使 用 多 个 共享 名 共享 ， 设 置 不 同 的 共享 权限 。 如 果 你 不 想 让 共享 的 文件 夹 在 网 络 上 被 
看 到 ， 可 以 设置 隐 含 共 享 。 

隐 含 共享 只 需要 在 共享 名 后 面 添加 “$” 符 号 即 可 。 

给 共享 的 文件 夹 “ 研 发 图 纸 ” 添 加 一 个 隐 含 共享 YF$， 设 置 管理 员 能 够 完全 控制 。 

Q@@ 如 图 7-15 所 示 ， 在 “研发 图 纸 属性 ”对 话 框 的 “共享 ”选项 卡 中 ， 单 击 “ 添 加 ”按钮 。 

@@ 如 图 7-16 所 示 ， 输 入 共享 名 YF$， 人 允许 的 用 户 数量 为 1。 
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图 7-15 添加 共享 名 图 7-16 隐 含 共享 
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图 如 图 7-17 所 示 ， 单 击 “ 权 限 ” 按 钮 删除 Everyone 账户 的 权限 。 
@@” 如 图 7-18 所 示 ， 添 加 域 管理 员 能 够 完全 控制 。 单 击 “ 确 定 ” 按 钮 。 
回 ”添加 完 隐 含 共享 后 ， 单 击 “ 共 享 名 ”下 拉 列 表 框 的 下 三 角 按钮 ， 可 以 看 到 该 文件 夹 的 所 有 共享 名 。 
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图 7-17 设置 隐 含 共享 的 权限 图 7-18 设置 并 发 连接 数 


7.2.5 任务 5: 管理 本 地 计算 机 所 有 共享 


查看 服务 器 上 的 所 有 共享 文件 来， 包括 隐 含 共享 的 文件 。 

@ 选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 “共享 和 存储 管理 ”命令 。 可 以 看 到 所 有 共享 ， 包 括 
隐 含 共享 和 默认 共享 : C$、E$、ADMIN$ 和 IPC$。 

@ ”如 图 7-19 所 示 ， 单 击 “ 设 置 共享 ”按钮 ， 可 以 打开 创建 新 的 共享 文件 夹 向 导 。 

图 选中 某 个 共享 ， 单 击 “ 属 性 ”按钮 ， 可 以 更 改 共享 的 权限 和 NTFS 权限 以 及 并 发 连接 的 用 户 数量 。 
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7-19 ”管理 服务 器 所 有 共享 
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7.2.6 任务 6: 访问 服务 器 上 共享 资源 和 隐 含 共享 资源 


以 域 管理 员 的 身份 登录 Research 计算 机 访问 FileServer 计算 机 上 共享 的 文件 夹 和 隐 含 的 共享 。 
Q@ ”如 图 7-20 所 示 。 选 择 “ 开 始 ” 一 “运行 ”命令 ， 输 入 “\Nfileserver”， 单 击 “ 确 定 ”按钮 。 在 出 
现 的 对 话 框 中 ， 可 以 看 到 fileserver 上 的 共享 文件 夹 ， 但 是 隐 含 共享 的 YF$ 没 有 出 现 。 


© 注意 : 如 果 是 工作 组 成 员 ， 需 要 输入 访问 FileServer 服务 器 的 账号 和 密码 。 


@@ 如 图 7-21 所 示 ， 选 择 “ 开 始 ” 一 “运行 ”命令 ， 输 入 “\\fileserver\yf$”， 单 击 “ 确 定 ” 按 钮 ， 
可 以 访问 隐 含 的 共享 。 
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图 7-20 访问 共享 资源 图 7-21 访问 隐 含 共享 


轿 如 图 7-22 所 示 ， 直 接 在 资源 管理 器 中 ， 输 入 “\\fileserver\y 传 ”， 单 击 加 按钮 也 可 以 访问 隐 仿 
共享 的 文件 夹 。 
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图 7-22 访问 隐 含 共享 
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7.2.7 任务 7: 访问 默认 共享 

默认 共享 是 为 管理 员 管 理 服务 器 的 方便 而 设 的 ， 其 权限 不 能 更 改 。 只 要 知道 服务 器 的 管理 员 账 号 和 密 
码 ， 不 管 其 是 否 明确 共享 了 文件 夹 ， 你 都 可 以 访问 其 所 有 的 分 区 。 

在 Research 计算 机 上 访问 FileServer 服务 器 的 C 盘 

Q@ 以 域 管理 员 的 身份 登录 Research 计算 机 。 


© 注意 : 默认 域 管理 员 Administrator 有 域 中 所 有 计算 机 的 管理 员 身份。 


@@ 如 图 7-23 所 示 ， 选 择 “开始 ” 一 “运行 ”命令 ， 输 入 “\\fileserverNc$”， 单 击 “ 确 定 ”按钮 ， 
可 以 访问 默认 的 共享 。 


7-23 ”访问 默认 共享 


7.2.8 任务 8: 创建 访问 服务 器 资源 的 快捷 方式 


如 果 你 经 常 访问 FileServer 服务 器 上 的 “研发 资料 ”文件 夹 ， 可 以 将 该 文件 夹 映 射 成 网 络 驱 动 器 或 创 
建 访问 该 服务 器 共享 资源 的 快捷 方式 。 

示例 1: 映射 网 络 驱动 器 。 

Q@ 如 图 7-24 所 示 ， 右 击 “ 研 发 资料 ”选项 ， 在 弹出 的 快捷 菜单 中 选择 “映射 网 络 驱动 器 ”命令 。 

@ 在 出 现 的 如 图 7-25 所 示 的 对 话 框 中 ， 指 定 驱动 器 号 ， 选 中 “登录 时 重新 连接 ” 复 选 框 ， 单 击 “ 完 
成 ”按钮 。 

@ ”双击 桌面 上 的 “计算 机 ”图 标 ， 可 以 看 到 映射 的 网 络 驱动 器 ， 如 图 7-26 所 示 。 以 后 你 就 可 以 像 访 
问 本 地 磁盘 一 样 访问 服务 器 上 的 共享 文件 夹 了 。 

示例 2: 创建 快捷 方式 。 

可 以 在 桌面 上 创建 一 个 访问 FileServer 服务 器 共享 资源 的 快捷 方式 。 

中 ”如 图 7-27 所 示 ， 右 击 桌面 的 空白 位 置 ， 在 弹出 的 快捷 菜单 中 选择 “快捷 方式 ”一 “新 建 ”命令 。 

@) 在 出 现 的 “创建 快捷 方式 ”对 话 框 中 ,输入 “\\fileserver”， 如 图 7-28 所 示 ， 单 击 “ 下 一 步 ” 
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按钮 。 
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图 7-24 映射 网 络 驱动 器 
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图 7-26 映射 的 网 络 驱动 器 
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图 7-27 创建 快捷 方式 
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7-28 指定 目标 位 置 


@ ”输入 快捷 方式 的 名 称 ， 如 图 7-29 所 示 ， 单 击 “ 完 成 ”按钮 。 
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图 7-29 输入 快捷 方式 的 名 称 图 7-30 创建 的 快捷 方式 


7.2.9 任务 9: 查看 到 文件 服务 器 的 会 话 


你 可 以 在 文件 服务 器 上 查看 哪些 用 户 正在 访问 哪些 文件 ， 也 可 以 结束 连接 过 来 的 用 户 访问 。 

示例 :查看 连接 的 会 话 。 

@ ”选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 “共享 和 存储 管理 ”命令 。 

@ ”如 图 7-31 所 示 ， 在 弹出 的 “共享 和 存储 管理 ”对 话 框 中 ， 单 击 “ 管 理会 话 ”选项 。 

图 “在 出 现 的 如 图 7-32 所 示 的 对 话 框 中 ,可 看 到 所 有 登录 到 FileServer 服务 器 的 用 户 。 用 户 可 以 关闭 
会 

@ 如 


话 。 
图 7-33 所 示 ， 在 “管理 打开 的 文件 ”对 话 框 中 ， 用 户 可 以 看 到 哪些 用 户 正在 访问 哪些 文件 。 
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图 7-31 管理 会 i 图 7-32 查看 会 话 
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7-33 ”查看 打开 的 文件 


7.2.10 任务 10: 管理 Windows Server Core 服务 器 共享 文件 夹 


Windows Server Core 没有 图 形 界面 , 使 用 命令 管理 其 共享 文件 、 设置 NTFS 权限 和 共享 权限 较为 复杂 ， 
现在 介绍 一 种 图 形 化 的 管理 工具 ， 远 程 管理 Windows Server Core 服务 器 上 的 共享 文件 夹 。 

示例 ， 管 理 Windows Server Core 服务 器 上 的 共享 文件 夹 。 

使 用 FileServer 上 的 管理 工具 管理 装 了 Windows Server Core 操作 系统 的 ProfileServer 上 的 共享 文件 。 

中 ”以 域 管理 员 的 用 户 账户 登录 FileServer 服务 器 。 

@ 选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 “共享 和 存储 管理 ”命令 。 

@ 单 击 “ 连 接 到 另 一 台 计 算 机 ”按钮 ， 在 出 现 的 对 话 框 中 ， 选 中 “ 另 一 台 计算 机 ” 单 选 按钮 ， 在 文 

本 框 中 输入 ProfileServer， 如 图 7-34 所 示 。 单 击 “ 确 定 ”按钮 。 
@ 现在 管理 工具 连接 到 了 ProfileServer， 如 图 7-35 所 示 。 单 击 “ 设 置 共享 ”按钮 。 
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图 7-34 连接 到 Server Core 图 7-35 可 以 设置 共享 


[23631 


第 7 章 搭建 文件 服务 器 


回 如 图 7-36 所 示 ， 在 “共享 文件 夹 位 置 ”界面 中 ， 单 击 “ 浏 览 ”按钮 。 
如 图 7-37 所 示 ， 在 出 现 的 “浏览 文件 夹 ” 对 话 框 中 ， 在 E$ 下 创建 一 个 文件 夹 “研发 图 纸 ”。 选 
中 该 文件 夹 ， 单 击 “ 确 定 ” 按 钮 ， 再 单 击 “ 下 一 步 ”按钮 。 
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图 7-36 浏览 要 共享 的 文件 夹 图 7-37 新建 要 共享 的 文件 夹 


@ 如 图 7-38 所 示 ， 在 出 现 的 “NTFS 权限 ”界面 中 单 击 “ 下 一 步 ” 按 钮 。 
如 图 7-39 所 示 ， 在 出 现 的 “共享 协议 ”界面 中 ， 默 认 选 中 SMB， 共 享 名 默认 为 文件 夹 的 名 称 ， 
单 击 “ 下 一 步 ”按钮 。 


图 7-38 设置 NTFS 权限 图 7-39 指定 共享 名 


@ 如 图 7-40 所 示 ， 在 出 现 的 “SMB 设置 ”界面 中 单 击 “ 高 级 ”， 设 置 用 户 限制 ， 单 击 “ 确 定 ” 
按钮 。 

@ 如 图 7-41 所 示 ， 在 出 现 的 “SMB 权限 ”界面 中 单 击 “ 权 限 ”， 删 掉 Everyone 的 访问 权限 ， 添 加 
“研发 人 员 ” 能 够 读 取 和 更 改 的 共享 权限 。 单 击 “ 下 一 步 ”按钮 。 

@@ 如 图 7-42 所 示 ， 在 出 现 的 “DFS 命名 空间 发 布 ”界面 中 单 击 “ 下 一 步 ”按钮 ， 完 成 共享 设置 。 
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@@ 如 图 7-43 所 示 ， 选 中 刚才 创建 的 共享 文件 夹 ， 选 择 “ 属 性 ”， 在 “研发 图 纸 属性 ”对 话 框 的 “ 权 
限 ” 选 项 卡 下 ， 可 以 设置 NTFS 权限 和 共享 权限 。 
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7-40 设置 并 发 连接 数 
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7-42 DFS 命名 空间 发 布 7-43 ”设置 共享 权限 和 NTFS 权限 


7.2.11 任务 11: 去 掉 默认 共享 


为 了 安全 起 见 ， 可 以 考虑 将 服务 器 上 的 默认 共享 禁止 。 

示例 : 去掉 默认 共享 。 

@ 选择 “开始 ”一 “运行 ”命令 ,输入 regedit， 单 击 “ 确 定 ” 按 钮 。 

@ 如 图 7-44 所 示 ， 打 开 注册 表 编 辑 器 。 在 HKEY LOCAL MACHINENSystemNCurrentControlSetN 
Services\LanmanServer\Parameters 下 新 建 REG_DWORD 值 。 名 称 输入 : AutoShareServer。 
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图 7-44 ”创建 键 值 
@ 如 图 7-45 所 示 ， 双 击 刚才 创建 的 项 ， 输 入 数值 为 0， 单 击 “ 确 定 ” 按 钮 。 


图 7-45 修改 键 什 


@ ”如 果 你 想 禁止 Admin$ 的 默认 共享 ， 可 以 在 注册 表 的 以 下 位 置 HKEY_LOCAL_MACHINE\System\ 
CurrentControlSet\Services\LanmanServer\Parameters 新 建 名 称 : AutoShareWks ， 类 型 : 
REG_DWORD， 值 : 0。 

重启 系统 。 

如 图 7-46 所 示 ， 再 次 查看 默认 共享 已 经 被 禁止 。 


@@ 


图 7-46 禁止 了 默认 共享 
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7.3 实战 2: 创建 基于 域 的 分 布 式 文件 系统 (DFS) 


如 果 局 域 网 中 有 多 台 服 务 器 ， 并 且 共 享 文件 夹 也 分 布 在 不 同 的 服务 器 上 ， 这 就 不 利于 管理 员 的 管理 和 
用 户 的 访问 。 而 使 用 分 布 式 文件 系统 ， 系 统管 理 员 就 可 以 把 不 同 服务 器 上 的 共享 文件 夹 组 织 在 一 起 ， 构 建 
成 一 个 目录 树 。 这 在 用 户 看 来 ， 所 有 共享 文件 仅 存储 在 一 个 地 点 ， 只 需 访 问 一 个 共享 的 DFS 根 目 录 ， 就 能 
够 访问 分 布 在 网 络 上 的 共享 文件 或 文件 夹 ， 而 不 必 知 道 这 些 文件 的 实际 物理 位 置 。 


1. DFS 复制 


DFS 复制 是 一 种 有 效 的 多 主机 复制 引擎 ， 可 用 于 保持 跨 有 限 带 宽 网 络 连接 的 服务 器 之 间 的 文件 夹 同 
步 。 它 将 文件 复制 服务 (FRS) 蔡 换 为 用 于 DFS 命名 空间 以 及 用 于 复制 使 用 Windows Server 2008 域 功能 
级 别 的 域 中 的 Active Directory 域 服务 (AD DS) SYSVOL 文件 夹 的 复制 引擎 。 

DFS 复制 使 用 一 种 称 为 远程 差分 压缩 (RDC) 的 压缩 算法 。RDC 检测 对 文件 中 数据 的 更 改 ， 并 使 DFS 
复制 仅 复制 已 更 改 的 文件 块 而 非 整个 文件 。 

若 要 使 用 DFS 复制 ， 必 须 创建 复制 组 并 将 已 复制 文件 夹 添加 到 组 。 复 制 组 、 己 复制 文件 夹 和 成 员 的 
关系 在 图 7-47 中 进行 了 说 明 。 


复制 组 


Projects 


RR Proposals Proposals 


7-47 复制 组 


此 图 所 示 复 制 组 是 一 组 称 为 “成 员 ” 的 服务 器 ， 它 参与 一 个 或 多 个 已 复制 文件 夹 的 复制 。“ 已 复制 文 
件 夹 ”是 在 每 个 成 员 上 保持 同步 的 文件 夹 。 图 中 有 两 个 已 复制 文件 夹 ， Projects 和 Proposals。 每 个 已 复 
制 文件 夹 中 的 数据 更 改 时 ， 将 通过 复制 组 成 员 之 间 的 连接 复制 更 改 。 所 有 成 员 之 间 的 连接 构成 复制 拓扑 。 

如 果 在 一 个 复制 组 中 创建 多 个 已 复制 文件 夹 ， 可 以 简化 部 署 已 复制 文件 夹 的 过 程 ， 因 为 该 复制 组 的 拓 
扑 、 计 划 和 带宽 限制 将 应 用 于 每 个 已 复制 文件 夹 。 若 要 部 署 其 他 已 复制 文件 夹 , 可 以 使 用 Dfsradmin.exe 或 
按照 向 导 中 的 说 明 来 定义 新 的 已 复制 文件 夹 的 本 地 路 径 和 权限 。 

每 个 已 复制 文件 夹具 有 唯一 的 设置 ， 例 如 文件 和 子 文件 夹 筛选 器 ， 以 便 可 以 为 每 个 已 复制 文件 夹 筛选 
出 不 同 的 文件 和 子 文件 夹 。 

存储 在 每 个 成 员 上 的 已 复制 文件 夹 可 以 位 于 成 员 中 的 不 同 卷 上 ， 已 复制 文件 夹 不 必 是 共享 文件 夹 也 不 
必 是 命名 空间 的 一 部 分 。 但 是 ，“DFS 管理 ”管理 单元 使 得 易于 共享 已 复制 文件 夹 ， 并 选择 性 地 在 现 有 命 
名 空间 中 发 布 它 们 。 

在 两 个 或 更 多 成 员 修改 文件 并 且 每 个 成 员 没 有 看 到 其 他 成 员 的 版 本 时 ，“DFS 复制 ”使 用 “最 后 写 入 
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者 优先 ”的 方法 来 确定 要 保留 的 文件 版 本 。 放 弃 的 文件 存储 在 解决 冲突 的 成 员 的 冲突 和 已 删除 文件 夹 中 。 
冲突 和 已 删除 文件 夹 还 可 以 用 于 存储 从 已 复制 文件 夹 中 删除 的 文件 。 每 个 冲突 和 已 删除 文件 夹 都 有 配额 ， 
用 于 控制 为 进行 清理 而 清除 文件 的 时 间 。 

2. 任务 描述 

DCServer 是 Ess.com 域 的 域 控制 器 和 DNS 服务 器 ， FileServer 和 ProfileServer 是 两 个 文件 服务 器 ， 
Research 是 研发 部 门 的 计算 机 ，Sales 是 销售 部 门 的 计算 机 。 这 些 计算 机 都 加 入 了 Ess.com 域 。 

为 了 给 域 用 户 访问 FileServer 和 ProfileServer 服务 器 以 及 在 Research 服务 器 上 共享 资源 提供 方便 , 将 
分 布 在 这 些 服务 器 上 的 资源 逻辑 整合 在 DCServer 上 创建 的 一 个 “常用 文件 ”文件 夹 中 。 

为 了 使 FileServer 服务 器 上 的 “安装 文件 ”文件 夹 容错 和 负载 均衡 ， 将 ProfileServer 的 “安装 文件 ” 
添加 到 DCServer 上 “常用 文件 ”中 的 “安装 文件 ”目标 上 。 

DFS 还 为 有 分 支 办 公 室 的 网 络 环境 提供 了 很 好 的 支持 。 可 以 将 用 户 透 明 地 定向 到 网 络 连接 较 好 的 服务 
器 上 。 


Co 


. 实战 环境 
DCServer 安装 了 Windows Server 2008 企业 版 操作 系统 。 
FileServer 安装 了 Windows Server 2008 企业 版 操作 系统 。 
Research 安装 了 Windows Server 2008 企业 版 操作 系统 。 
ProfileServer 安装 Windows Server 2008 企业 版 核心 。 
Sales 安装 了 Vista 操作 系统 。 

如 图 7-48 所 示 ， 在 文件 服务 器 Research 上 有 个 共享 文件 夹 “技术 资料 ”， 在 FileServer 上 有 共享 文 
件 夹 “ 安 装 文件 ”。 我 们 在 DCServer 服务 器 上 创建 一 个 共享 文件 夹 “ 常 用 文件 ”， 这 个 “常用 文件 ”就 是 
DFS 的 根 ， 然 后 添加 两 个 连接 指向 “安装 文件 ”和 “技术 资料 ”两 个 共享 文件 ， 这 两 个 连接 在 用 户 看 来 就 
像 “ 常 用 文件 ”文件 夹 中 的 两 个 子 文件 夹 。 用 户 单 击 “ 常 用 文件 ”中 的 “技术 资料 ”文件 夹 将 会 把 用 户 透 
明 地 定位 到 \\Research\ 技 术 资 料 。 
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图 7-48 ”实战 环境 
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在 DCServer 上 “常用 文件 ”中 的 “安装 文件 ”, 连接 指向 了 “\\FileServer\ 安 装 文件 ”和 “\\ProfileServer\ 


安装 文件 ”两 个 网 络 文件 夹 。 这 两 个 文件 夹 会 实现 自动 同步 。 大 量 用 户 访问 “\\DCServer\ 常 用 文件 \ 安 装 
文件 ”时 ， 将 会 把 用 户 均匀 地 定位 到 两 个 服务 器 上 ， 从 而 实现 负载 均衡 。 如 果 其 中 的 ProfileServer 服务 损 


坏 ， 


用 户 会 自动 全 部 定位 到 FileServer 服务 器 上 的 “安装 文件 ”文件 夹 ， 这 样 实现 容错 。 
4. 实战 目标 
创建 基于 域 的 分 布 式 文件 系统 。 


访问 基于 域 的 分 布 式 文件 系统 。 
实现 对 分 支 办 公 室 的 支持 。 


7.3.1 任务 1: 创建 基于 域 的 DFS 
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在 服务 器 上 安装 以 下 角色 。 

”在 FileServer 上 安装 “分 布 式 文件 系统 ”、“DFS 复制 ”和 “文件 服务 器 ”。 

”在 Research 上 安装 “分 布 式 文件 系统 ”、“DFS 复制 ”和 “文件 服务 器 ”。 

”在 DCServer 上 安装 “DFS 命名 空间 ”， 并 创建 命名 空间 ， 在 该 命名 空间 中 添加 文件 夹 。 


创建 基于 域 的 DFS 


Q@ ”以 域 管 理 员 用 户 账户 登录 FileServer。 

@ 打开 “服务 器 管理 器 ”窗口 ， 单 击 “ 文 件 服务 ”选项 ， 可 以 看 到 有 些 文件 服务 器 角色 服务 没有 
安装 。 

图 如 图 7-49 所 示 ， 单 击 “ 添 加 角色 ”按钮 。 

@ ”如 图 7-50 所 示 ， 在 出 现 的 “选择 角色 服务 ”界面 中 ， 选 中 “DFS 命名 空间 ”、“DFS 复制 ”、“ 文 

件 复制 服务 ” 复 选 框 。 
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图 7-49 添加 角色 图 7-50 选择 角色 服务 


回 如 图 7-51 所 示 ， 在 出 现 的 “配置 存储 使 用 情况 监视 ”界面 中 ， 单 击 “ 下 一 步 ” 按 钮 ， 完 成 安装 。 
@ ”以 域 管理 员 用 户 账户 登录 到 DCServer。 
@ 打开 “服务 器 管理 器 ”窗口 ， 如 图 7-52 所 示 ， 单 击 “ 添 加 角色 ”按钮 。 
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图 7-51 配置 存储 使 用 情况 监视 图 7-52 添加 角色 


如 图 7-53 所 示 , 在 出 现 的 “选择 服务 器 角色 ”界面 中 ， 选 中 “文件 服务 ” 复 选 框 , 单 击 “ 下 一 步 ” 
按钮 。 

如 图 7-54 所 示 ， 在 出 现 的 “选择 角色 服务 ”界面 中 ， 选 中 “FDS 命名 空间 ” 复 选 框 ， 单 击 “ 下 一 
步 ”按钮 。 
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图 7-53 选择 角色 图 7-54 选择 角色 服务 


如 图 7-55 所 示 ， 在 出 现 的 “文件 服务 ”界面 中 ， 单 击 “ 下 一 步 ”按钮 。 

如 图 7-56 所 示 ， 在 出 现 的 “创建 DFS 命名 空间 ”界面 中 ， 选 中 “立即 使 用 此 向 导 创 建 命名 空间 ” 
单 选 按钮 ， 在 文本 框 中 输入 “常用 文件 ”， 单 击 “ 下 一 步 ” 按 钮 。 

如 图 7-57 所 示 , 在 “选择 命名 空间 类 型 ”界面 中 , 选中 “基于 域 的 命名 空间 ” 单 选 按钮 ,选中 “ 启 
用 Windows Server 2008 模式 ” 复 选 框 ， 单 击 “ 下 一 步 ” 按 钮 。 

如 图 7-58 所 示 ， 在 “配置 命名 空间 ”界面 中 ， 单 击 “ 下 一 步 ” 按 钮 ， 完 成 向 导 。 

如 图 7-59 所 示 , 展开 “服务 器 管理 器 ”中 的 “文件 服务 ”一 “DFS 管理 ”一 “命名 空间 ”一 “\\Ess.com\ 
常用 文件 ”节点 ， 单 击 “ 新 建文 件 夹 ”按钮 。 

如 图 7-60 所 示 ， 在 出 现 的 “添加 文件 夹 目 标 ” 对 话 框 中 ， 输 入 名 称 “ 技 术 资 料 ” 及 文件 夹 目 标 ， 
单 击 “ 添 加 ”按钮 ， 输 入 “\\research\ 技 术 资 料 ”， 单 击 “ 确 定 ” 按 钮 。 


©@ 四 四 © ee 
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图 7-59 在 名 称 空间 中 创建 文件 夹 


7-58 配置 名 称 空间 


| ee Ww teem pc wdom mp | 
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图 7-60 添加 目标 文件 夹 


人 @” 如 图 7-61 所 示 ， 单 击 “ 确 定 ”按钮 ， 完 成 新 建文 件 夹 。 
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提示 : 还 可 以 继续 单 击 “ 添 加 ”按钮 添加 多 个 目标 ， 这 些 目 标 文件 夹 将 会 自动 同步 ， 这 样 可 以 避免 硬件 故 
障 造成 的 数据 丢失 ， 同 时 多 个 访问 者 被 均匀 地 定位 到 多 个 目标 文件 夹 ， 从 而 实现 负载 均衡 . 


“ 安 


四 ”如 图 7-62 所 示 ， 使 用 相同 的 方法 ， 在 该 命名 空间 中 ， 添 加 指向 “\\fileserver\ 安 装 文件 ”的 
装 文件 ”。 
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图 7-62 同一 个 名 称 空间 下 的 目标 文件 夹 


图 7-61 完成 添加 


7.3.2 任务 2: 添加 多 个 名 称 空间 


在 一 个 域 中 可 以 有 多 个 命名 空间 ， 用 户 也 可 以 使 用 DFS 管理 工具 管理 DFS 命名 空间 。 以 下 示例 演示 ， 
在 域 中 创建 一 个 “人 力 资源 ”的 名 称 空间 。 名 称 空间 服务 器 仍然 是 DCServer。 这 样 你 就 可 以 在 “人 力 资源 ” 
命名 空间 ， 组 织 人 力 资源 相关 的 文件 夹 了 。 

Q@ 选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 DFS Management 命令 。 

@ 如 图 7-63 所 示 ， 在 出 现 的 “DFS 管理 ”窗口 中 ， 单 击 “ 新 建 命名 空间 ”按钮 。 


@ ”如 图 7-64 所 示 ， 在 出 现 的 “命名 空间 服务 器 ”界面 中 ， 输 入 DCServer， 单 击 “ 下 一 步 ”按钮 。 
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图 7-64 指定 命名 空间 服务 器 


图 7-63 ”创建 新 的 命名 空间 
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@@ 如 图 7-65 所 示 ， 在 “命名 空间 名 称 和 设置 ”对 话 框 中 ， 输 入 名 称 “ 人 力 资源 ”， 单 击 “ 下 一 步 ” 
按钮 。 

回 ”如 图 7-66 所 示 ， 在 “命名 空间 类 型 ”界面 中 ， 选 中 “基于 域 的 命名 空间 ” 单 选 按钮 ， 选 中 “启用 
Windows Server 2008 模式 ” 复 选 框 ， 单 击 “ 下 一 步 ” 按 钮 。 
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图 7-65 指定 命名 空间 的 名 称 和 设置 图 7-66 指定 命名 空间 类 型 


如 图 7-67 所 示 ， 在 “复查 设置 并 创建 命名 空间 ”界面 中 ， 注 意 观察 “命名 空间 名 称 \\ess.com\ 人 
力 资源 ”， 单 击 “ 创 建 ”按钮 。 


mp hem op 
Co TT CT:T: eal) 


下 学 ”本 if 说 间 
号 


一 | 


anise ease 
ema 


7-67 ”完成 命名 空间 的 创建 


7.3.3 任务 3: 访问 命名 空间 中 的 文件 来 


Q@ ”使 用 域 用 户 账户 Administrator 在 Sales 计算 机 登录 。 
回 选择 “开始 ”一 “运行 ”命令 ， 在 “运行 ”对 话 框 中 输入 \\ess.com， 如 图 7-68 所 示 。 单 击 “ 确 
定 ” 按 钮 。 


Ls | 提示 : 使 用 命名 空间 访问 共享 文件 夹 ， 可 以 看 到 ess.com 域 中 所 有 的 命令 空间 ， 如 图 7-69 所 示 。 
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图 7-68 访问 命名 空间 图 7-69 可 以 看 到 域 中 所 有 的 命名 空间 


如 图 7-70 所 示 ， 单 击 “ 常 用 文件 ”文件 夹 ， 可 以 看 到 该 名 称 空间 下 的 两 个 子 文件 夹 。 


如 图 7-71 所 示 ， 双 击 
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图 7-70 访问 名 称 空间 中 的 文件 图 7-71 注意 访问 的 路 径 
如 图 7-72 和 图 7-73 所 示 ， 也 可 以 直接 利用 命名 空间 服务 ， 访 问 共享 资源 。 
| 


bel- T- Mslele | 


EEX 


图 7-73 ”可 以 访问 命名 空间 中 的 文件 


图 7-72 访问 命名 空间 服务 器 


“安装 文件 ”文件 夹 ， 将 被 透明 地 定位 到 “\\FileServer\ 安 装 文件 ”文件 夹 。 
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7.3.4 任务 4: 在 Server Core 计算 机 上 添加 DFS 宛 余 


在 ProfileServer 计算 机 上 安装 以 下 服务 。 
和 ”文件 复制 服务 (FRS-Infrastructure)。 


香 ”分 布 式 文件 系统 服务 (DFSN-Server)。 
和 ”分 布 式 文件 系统 复制 (DFSR-Infrastructure-ServerEdition)。 


在 DCSever 上 添加 “安装 文件 ”的 元 余 文 件 来 
@ ”以 域 管理 员 的 用 户 账户 登录 ProfileServer 计算 机 。 


@， 如 图 7-74 所 示 ， 定 位 到 C:\windows\system32 目录 下 ， 输 入 cscript scregedit.wsf /cli 命令 显示 
可 用 的 命令 汇总 。 
图 如 图 7-75 所 示 ， 输 入 Oclist 命令 ， 显 示 该 计算 机 安装 的 和 未 安装 的 角色 和 服务 。 
6 mofilesermr -VMware Workstation ACE Edilion 
阿 rolls5erver - VMware Workstation ACE Edition = 


Fle ER Vew VM Team ACE Windom Hh 


全 号 品 吕 


图 7-74 显示 命令 汇总 图 7-75 查看 安装 和 未 安装 的 角色 和 服务 


@@ ”如 图 7-76 所 示 ， 输 入 Start/w Ocsetup FRS-Infrastructure， 按 Enter 键 。 


| B rofleserer_ VMware Workstat on ACE Editon [= cg 


EEC 


图 7-76 安装 角色 和 角色 服务 


回 ”输入 Start/w Ocsetup DFSN-Server， 按 Enter 键 。 
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输入 Start/w Ocsetup DFSR-Infrastructure-ServerEdition， 按 Enter 键 。 


© 注意 : 角色 和 角色 服务 名 字 区 分 大 小 写 。 


@ ”以 域 管 理 员 的 用 户 账户 登录 到 DCServer。 

选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 DFS Management 命令 。 

在 “DFS 管理 ”对 话 框 ， 如 图 7-77 所 示 ， 展 开 “DFS 管理 ”一 “命名 空间 ”一 “安装 文件 ”一 
“\\ess.com\ 人 力 资源 ”节点 ， 单 击 “ 添 加 文件 夹 目 标 ” 按 钮 。 

@ 如 图 7-78 所 示 ， 在 出 现 的 “新 建文 件 夹 目标 ”对 话 框 中 ， 单 击 “浏览 ”按钮 。 


图 7-77 添加 目标 文件 7-78 ”浏览 目标 文件 夹 


四 如 图 7-79 所 示 , 在 “浏览 共享 文件 夹 ” 对 话 框 的 “服务 器 ”文本 框 中 输入 profileserver。 单 击 “ 显 
示 共 享 文件 夹 ” 按 钮 ， 发 现 没 有 共享 的 文件 来， 然后 单 击 “ 新 建 共享 文 件 夹 ”按钮 。 

@ 四 如 图 7-80 所 示 ， 在 “创建 共享 ”对 话 框 中 输入 共享 名 “安装 文件 ”， 单 击 “ 浏 览 ”按钮 。 

四 如 图 7-80 所 示 ， 在 出 现 的 “浏览 文件 夹 ”对 话 框 中 ， 选 中 C$ 节点 ， 单 击 “ 新 建文 件 夹 ”按钮 ， 

输入 文件 夹 的 名 称 。 单 击 “ 确 定 ” 按 钮 。 


图 7-79 显示 共享 文件 夹 图 7-80 创建 并 共享 文件 夹 
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外 ”如 图 7-81 所 示 ， 在 出 现 的 “新 建文 件 夹 目标 ”对 话 框 中 单 击 “ 确 定 ”按钮 。 
@ ”如 图 7-82 所 示 ， 在 出 现 的 “复制 ”对 话 框 中 单 击 “ 是 ”按钮 。 


sce 
Tee 


7-81 指定 目标 文件 夹 7-82 ”指定 是 否 配置 复制 


外 ”如 图 7-83 所 示 ， 在 “复制 组 和 已 复制 文件 夹 名 ”界面 中 ， 单 击 “ 下 一 步 ” 按 钮 。 
四 ”如 图 7-84 所 示 ， 在 “复制 合格 ”界面 中 ， 单 击 “ 下 一 步 ” 按 钮 。 
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图 7-83 复制 组 图 7-84 复制 合格 
岛 ” 如 图 7-85 所 示 ， 在 出 现 的 “主要 成 员 ” 界 面 中 ， 选 中 主要 成 员 FILESERVER。 


© 注意 : 在 这 里 指定 的 主要 成 员 ， 只 是 在 初次 复制 时 以 那个 服务 器 的 文件 天 中 的 数据 为 主 ， 配 置 好 了 之 后 ， 
就 不 存在 主 和 辅 的 区 别 ， 用 户 可 以 修改 两 个 文件 服务 器 上 的 文件 ， 通 过 复制 达到 数据 同步 。 


如 图 7-86 所 示 ， 在 出 现 的 “拓扑 选择 ”界面 中 ， 选 中 “交错 ” 单 选 按钮 ， 单 击 “ 下 一 步 ”按钮 。 
如 图 7-87 所 示 ， 在 “复制 组 计划 和 带宽 ”界面 中 ， 选 中 “使 用 指定 带宽 连续 复制 ” 单 选 按钮 ， 单 
击 “ 下 一 步 ”按钮 。 

如 图 7-88 所 示 ， 在 “复查 设置 并 创建 复制 组 ”对 话 框 中 ， 单 击 “ 创 建 ”按钮 

如 图 7-89 所 示 ， 在 “确认 ”对 话 框 中 ， 单 击 “关闭 ”按钮 ， 完 成 添加 目标 文件 夹 。 
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7.3.5 任务 5: 验证 DFS 的 复制 和 容错 


验证 “安装 文件 ”的 复制 和 容错 


以 域 管理 员 用 户 账户 登录 到 FileServer。 

在 E 盘 “安装 文件 ”中 创建 一 个 记事 本 文件 FileServer.txt。 

选择 “开始 ”一 “运行 ”命令 ， 在 “运行 ”对 话 框 中 输入 “\\profileserver\ 安 装 文件 ”。 

可 以 发 现 ， 在 ProfileServer 服务 器 的 安装 文件 上 也 会 立即 出 现 ， 如 图 7-90 所 示 。 

如 图 7-91 所 示 ， 选 择 VM 一 Removable Devices 一 Ethernet 一 Disconnect 命令 ， 断 开 FileServer 服 


@GEO@OO0O 


图 7-90 两 个 服务 器 上 的 安装 文件 同步 图 7-91 断 开 网 卡 连接 


在 Sales 计算 机 访问 “\\Ess.com\ 常 用 文件 ”文件 夹 中 的 “安装 文件 ”， 发 现 等 稍 长 的 时 间 用 户 还 
是 能 够 打开 “安装 文件 ” 子 文件 夹 。 


7.3.6 任务 6: 管理 DFS 复制 


DFS 中 多 个 目标 文件 夹 默 认 是 相互 复制 的 ， 可 以 禁用 某 个 复制 ， 形 成 单 向 复制 。 
Q@ ”如 图 7-92 所 示 ， 右 击 接收 成 员 FileServer， 从 弹出 的 快捷 菜单 中 选择 “禁用 ”命令 ,这样 只 能 实 
现 FileServer 到 ProfileServer 的 复制 。 


al 
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图 7-92 管理 DFS 复制 
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加 如 图 7-92 所 示 ， 也 可 以 选择 “立即 复制 副本 ”命令 。 如 果 选择 “删除 ”命令 ， 可 以 删除 连接 。 
图 ”如 图 7-93 所 示 ， 单 击 “ 新 建 连接 ”按钮 ， 在 出 现 的 对 话 框 中 ， 可 以 指定 发 送 成 员 ， 接 收成 员 ， 如 
果 不 选 中 “在 相反 方向 创建 另 一 个 连接 ” 复 选 框 ， 只 能 创建 单 向 连接 。 


图 7-93 创建 DFS 连接 


7.3.7 任务 7: 支持 分 支 办 公 室 


如 图 7-94 所 示 ， 某 公司 创建 了 一 个 Ess.com 域 ， 分 公司 在 石家庄 ， 网 络 中 心 在 北京 。 分 公司 和 网 络 中 
心 通 过 广域网 连接 ， 网 络 中 心 的 子 网 为 10.7.10.0，255.255.255.0， 分 公司 的 子 网 为 192.168.1.0 ， 
255.255.255.0。 


DFS 文 尘 分 支 办 公 室 
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图 7-94 ”公司 物理 网 络 拓扑 


公司 的 “安装 文件 ”文件 夹 存放 在 FileServer 服务 器 上 ， 分 公司 用 户 访问 FileServer 要 跨越 广域网 ， 
速度 较 慢 。 为 了 方便 分 公司 的 员工 访问 公司 “安装 文件 ”, 在 分 公司 的 文件 服务 器 ProfileServer 上 创建 “ 安 
装 文件 ”文件 夹 并 共享 ， 然 后 利用 DFS 将 “安装 文件 ”在 这 两 个 服务 器 上 同步 。 

当 石 家 庄 的 用 户 访问 输入 “\\Ess.com\ 常 用 文件 ”访问 该 域 中 的 命名 空间 时 ， 用 户 最 好 被 定位 到 位 于 
石家庄 站 点 的 ProfileServer 服务 器 上 。 当 北京 的 用 户 访问 输入 “\\Ess.com\ 常 用 文件 ”访问 该 域 的 命名 空 
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人 ECZDO 


间 时 ， 最 好 被 定位 到 位 于 北京 站 点 的 FileServer 服务 器 上 。 要 实现 将 用 户 自 动 定位 到 同一 站 点 的 服务 器 上 ， 
需要 配置 活动 目录 站 点 和 子 网 对 象 。 这 样 命名 空间 服务 器 将 会 根据 用 户 计算 机 的 IP 地 址 ， 将 用 户 定位 到 同 
一 站 点 的 文件 服务 器 上 。 

首先 ， 按 照 图 7-95 配置 计算 机 的 IP 地 址 。 需 要 在 DCServer 计算 机 的 网 络 连 接 中 添加 两 个 IP 地 址 ， 
来 模拟 两 个 网 卡 ， 然 后 将 其 配置 成 路 由 器 ， 人 允许 在 网 络 中 心 和 分 公司 之 间 转 发 数据 包 。 


DFS 试 验 铬 裤 和 IP 忠 置 


7-95 ”试验 环境 


然后 在 DCServer 上 安装 路 由 和 远程 访问 服务 ， 并 启用 路 由 功能 ， 然 后 创建 活动 目录 站 点 和 子 网 对 象 。 

Q@ ”以 域 管 理 员 的 身份 登录 到 域 控制 器 DCServer 上 。 

@ ”打开 服务 器 管理 器 ， 单 击 “ 服 务 器 角色 ”， 单 击 “ 添 加 角色 ”。 在 出 现 的 对 话 框 中 ， 单 击 “ 下 一 
步 ”按钮 。 

@ 如 图 7-96 所 示 ， 在 “选择 服务 器 角色 ”界面 中 ， 选 中 “网 络 策略 和 访问 服务 ” 复 选 框 ， 单 击 “ 下 

@ 


一 步 ”按钮 。 
如 图 7-97 所 示 ， 在 出 现 的 “选择 角色 服务 ”界面 中 ， 选 中 “路 由 ”和 “远程 访问 服务 ” 复 选 框 ， 
单 击 “ 下 一 步 ”按钮 ， 在 “确认 选择 ”界面 中 ， 单 击 “ 安 装 ”按钮 ， 完 成 安装 。 
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图 7-96 安装 角色 图 7-97 选择 角色 服务 
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选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 “路 由 和 远程 访问 ”命令 。 

如 图 7-98 所 示 ， 右 击 DCSERVER 服务 器 ， 在 弹出 的 快捷 菜单 中 选择 “配置 并 启用 路 由 和 远程 访 
问 ” 命 令 。 

如 图 7-99 所 示 ， 在 出 现 的 “配置 ”界面 中 ， 选 中 “ 自 定 义 配 置 ” 单 选 按钮 ， 单 击 “ 下 一 步 ” 


EECETIOETTETT 
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Backdl 


图 7-98 配置 路 由 和 远程 访问 


如 图 7-100 所 示 ， 在 “ 自 定义 配置 ”界面 中 ， 选 中 “LAN 路 由 ” 复 选 框 ， 单 击 “ 下 一 
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7-99 自 定义 配置 


步 ”按钮 ， 


完成 配置 。 现 在 已 经 将 DCSERVER 配置 成 路 由 器 了 ， 通 常 将 Windows 配置 成 的 路 由 器 称 为 软 


路 由 。 


@ 选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 “Active Directory 站 点 和 服务 ”命令 。 
如 图 7-101 所 示 ， 右 击 Default-First-Site-Name， 在 弹出 的 快捷 菜单 中 选择 “ 重 命名 ”命令 ， 在 出 


现 的 对 话 框 中 输入 “北京 ”。 


le Ed View VM Team acE Windows Help 


日 放风 如 而 江 | 间 意 避 | 加 | 门 吾 回 | 呈 问 国 


Ee 
和 | 


谤 相信 各 在 此 到 共 入 上 二 几 的 昌 轩 。 
er Wa 
Wa) 
三 溥 村人 入 由 分 到 妆 尖 由 他 二 ) ) 


Ele Ed Yew WM Jeam AGE Window Hep 
二 ET | 一 


图 7-100 路 由 


图 7-101 重 命名 默认 活动 目录 站 点 
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四 如 图 7-102 所 示 ， 重 命名 完成 。 
四 如 图 7-103 所 示 ， 右 击 Sites， 在 弹出 的 快捷 菜单 中 选择 “新 站 点 ”命令 ， 在 出 现 的 对 话 框 中 输入 
“石家庄 ”， 选 中 下 面 的 连接 DEFAULTIPSITELINK， 如 图 7-104 所 示 。 单 击 “ 确 定 ”按钮 。 
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7-102 ”站 点 被 重 命名 7-103 ”新 建 活动 目录 站 点 


出 现 提示 对 话 框 ， 单 击 “确定 ”按钮 。 

如 图 7-105 所 示 ， 右 击 Subnets， 在 弹出 的 快捷 菜单 中 选择 “新 建 子 网 ”命令 ， 在 出 现 的 对 话 框 
中 输入 10.7.10.0/24， 选 中 “北京 ”站 点 ， 单 击 “ 确 定 ” 按 钮 ， 如 图 7-106 所 示 。 

如 图 7-107 所 示 ， 创 建 子 网 对 象 192.168.1.0/24， 选 中 “石家庄 ”站 点 ， 单 击 “ 确 定 ” 按 钮 。 
如 图 7-108 所 示 ， 再 次 打开 DFS 会 发 现 ，“ 安 装 文件 ”的 文件 夹 目标 ，FileServer 服务 器 在 北京 
站 点 ，ProfileServer 服务 器 在 石家庄 站 点 。 这 说 明 活动 目录 根据 服务 器 的 IP 地 址 对 照 活动 目录 站 
点 子 网 对 象 将 其 划分 到 不 同 的 站 点 中 。 
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图 7-104 选择 站 点 间 连 接 图 7-105 创建 子 网 对 象 
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图 7-108 ”DFS 和 活动 目录 站 点 


7.3.8 任务 8: 测试 到 DFS 的 连接 


前 面 的 操作 根据 网 络 的 物理 结构 创建 了 活动 目录 站 点 和 子 网 对 象 .现在 活动 目录 就 可 以 针对 FileServer 
和 ProfileServer 的 IP 地 址 来 断定 其 所 在 的 活动 目录 站 点 。 

客户 端 访问 命名 空间 时 ， 命 名 空间 服务 器 DCServer 会 根据 客户 端的 IP 地 址 ， 优 先 将 用 户 定位 到 与 用 
户 在 同一 站 点 的 文件 服务 器 上 。 

示例 ;验证 DFS 连接 。 

@ ”以 域 管 理 员 的 用 户 账户 登录 Sales 计算 机 。 

@ 将 其 IP 地 址 设置 成 10.7.10.56， 子 网 掩 码 设置 成 255.255.255.0， 网 关 设 置 成 10.7.10.123，DNS 

设置 成 10.7.10.123。 这 个 地 址 属于 北京 站 点 。 
图 选择 “开始 ”一 “运行 ”命令 ， 在 “运行 ”对 话 框 中 输入 \\Ess.com ， 单 击 “ 确 定 ” 按 钮 。 
@ 如 图 7-109 所 示 ， 打开“ 常用 文件 ”中 的 “安装 文件 ”。 
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回 ”如 图 7-110 所 示 ， 在 FileServer 计算 机 上 ， 选 择 “ 开 始 ” 一 “程序 ”一 “管理 工具 ”一 “共享 和 
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存储 管理 ”命令 。 
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7-109 访问 名 称 空间 


7-110 ”查看 会 话 


@ 如 图 7-111 所 示 ， 可 以 看 到 ，Sales 计算 机 访问 DFS 被 定位 到 FileServer 计算 机 。FileServer 属于 


北京 站 点 。 


@ 将 Sales 计算 机 的 IP 地 址 设置 成 192.168.1.56， 子 网 掩 码 为 255.255.255.0， 网 关 设 置 成 


192.168.1.100，DNS 设置 成 192.168.1.100。 


@ 再 次 打开 “\\Ess.com\ 常 用 文件 ”命名 空间 ， 单 击 “ 安 装 文件 ”。 
@ 如 图 7-112 所 示 ， 在 ProfileServer 上 运行 netstat -n 命令 ， 可 以 看 到 Sales 计算 机 访问 


ProfileServer 共享 文件 夹 建立 的 会 话 。 访 问 共享 文件 夹 使 用 的 端口 是 TCP 的 445 端口 。 
@@ 上 面 的 操作 验证 了 设置 活动 目录 站 点 和 子 网 对 象 对 用 户 访问 DFS 的 影响 。 
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7-111 ”查看 访问 共享 资源 的 会 话 


图 7-112 ”查看 会 话 


7.4 设计 分 布 式 文件 系统 


7.4.1 分 布 式 文件 系统 的 方案 和 功能 


在 开始 设计 之 前 ， 最 好 了 解 一 下 设计 这 些 技术 所 针对 的 方案 以 及 可 以 为 Windows Server 2008 中 的 
“DFS 命名 空间 ”和 “DFS 复制 ”配置 的 基本 功能 。 在 复查 了 方案 之 后 , 请 记 住 ,“DFS 命名 空间 ”和 “DFS 复 
制 ” 配 置 之 间 没有 依存 关系 。 两 项 服务 都 可 以 相互 独立 使 用 ， 但 是 在 一 起 使 用 时 ， 可 以 帮助 你 实现 更 强大 
的 端 到 端 方案 ， 获 得 高 可 用 性 并 实现 WAN 负载 平衡 。 

建议 使 用 分 布 式 文件 系统 的 方案 ， 要 实现 下 列 方案 ， 可 以 将 “DFS 命名 空间 ”和 “DFS 复制 ”一 起 使 用 。 


7.4.2 数据 发 布 


使 用 Windows Server 2003 R2 中 的 “DFS 命名 空间 ”和 “DFS 复制 ”可 以 在 组 织 范围 内 (的 所 有 服 
务 器 上 ) 给 用 户 发 布 文档 、 软 件 和 行业 数据 。 在 此 方案 中 ， 使 用 “DFS 复制 ”将 数据 分 发 到 多 台 服 务 器 上 ， 
同时 使 用 “DFS 命名 空间 ”简化 用 户 对 数据 的 访问 并 实现 高 可 用 性 。 

图 7-113 说 明了 如 何在 分 支 机 构 环 境 中 使 用 “DFS 复制 ”来 复制 数据 。 在 分 支 机构 环 境 中 ， 数 据 源 自 
中 心 站 点 或 数据 中 心 的 一 台 或 多 台中 心服 务 器 ， 并 复制 到 分 支 机 构 的 服务 器 上 。 


中 心 站 点 


分 支 机 构 分 支 机 构 分 支 机 构 


7-113 分支 机 构 环 境 


因为 “DFS 复制 ”是 针对 慢 速 WAN 链 路 而 设计 的 ， 所 以 ， 它 非常 适合 将 文件 分 发 到 远程 位 置 的 分 支 
机 构 。 远 程 差分 压缩 (RDC) 有 助 于 减少 用 于 复制 的 网 络 带 宽 。“DFS 复制 ”可 以 继续 复制 因 WAN 中 断 
而 造成 的 只 复制 了 一 部 分 的 文件 。 使 用 “DFS 复制 ”来 分 发 数据 的 其 他 一 些 好 处 如 下 所 述 。 
”要 减少 复制 源 自 中 心服 务 器 的 新 文件 时 所 需 的 WAN 通信 量 ， 可 以 使 用 交叉 文件 RDC 来 确定 与 
需要 复制 的 文件 类 似 的 文件 。 如 果 文 件 在 中 心服 务 器 上 而 不 是 在 分 支 服务 器 上 ， 那 么 此 方法 很 有 
用 。“DFS 复制 ”可 以 使 用 与 需要 复制 的 文件 类 似 的 文件 的 若干 部 分 来 代 蔡 复制 整个 文件 ， 从 而 
使 通过 WAN 传输 的 数据 量 最 少 。( 交 叉 文 件 RDC 的 要 求 如 本 指南 后 面 的 ““DFS 复制 ”的 功 
能 ”中 所 述 ) 

于 要 进一步 减少 初次 复制 新 数据 时 所 需 的 复制 通信 量 , 可 以 使 用 已 还 原 的 备份 来 预 安排 分 支 服务 器 。 
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“DFS 复制 ”可 以 使 用 RDC 和 交叉 文件 RDC 来 减少 复制 任何 新 文件 或 已 更 改 文件 的 若干 部 分 
时 所 需 的 带宽 。 
至。 可 以 将 复制 安排 在 非 工作 时 间 进 行 ， 并 且 可 以 通过 设置 带宽 限制 来 控制 复制 期 间 使 用 的 带宽 。 
”在 复制 到 大 量 分 支 服务 器 时 ， 就 中 心服 务 器 上 的 负载 来 说 ，“DFS 复制 ”是 非常 高 效 的。 原因 在 
于 “DFS 复制 ”只 暂 存 要 复制 的 文件 ( 即 准备 文件 ， 以 便 使 用 RDC 哈 希 值 进行 复制 ) 一 次 ， 之 后 
重复 使 用 暂 存 的 文件 复制 到 所 有 伙伴 。 
尽管 单独 使 用 “DFS 复制 ”就 足以 分 发 数据 ， 但 是 ， 使 用 “DFS 命名 空间 ”可 以 简化 用 户 对 分 布 式 数 
据 的 访问 并 提高 数据 的 可 用 性 。 在 创建 命名 空间 时 ， 对 位 于 不 同 服务 器 上 的 共享 文件 夹 进行 分 组 ， 并 将 其 
作为 虚拟 文件 夹 树 提供 给 用 户 。 命 名 空间 中 的 任何 文件 夹 都 可 以 由 多 台 服 务 器 托管 ， 每 台 服 务 器 保留 该 文 
件 夹 中 的 已 发 布 数据 的 副本 (通过 “DFS 复制 ”保持 同步 )。 浏 览 命名 空间 时 ， 用 户 仅 看 到 一 个 文件 夹 ， 并 
且 不 会 注意 到 该 文件 夹 是 由 多 台 服 务 器 托管 的 。 对 于 使 用 UNC 路 径 ( 例 如 
N\N\Ess.comNSoftware\Products\Microsoft\Office] 访 问 数据 的 用 户 ， 基 础 服务 器 是 完全 透明 的 。 
“DFS 命名 空间 ”在 以 下 几 种 情况 时 非常 适合 在 分 支 机 构 环境 中 使 用 。 
至。 如果 客户 端 计算 机 自己 的 Active Directory 站 点 中 存在 服务 器 ， 那 么 客户 端 计算 机 将 先 访问 这 些 
服务 器 。 可 以 选择 限制 客户 端 计算 机 ， 使 其 仅 访问 自己 站 点 中 的 服务 器 。 
里 “如果 某 台 服务 器 出 现 故 障 , 那么 客户 端 可 以 将 故障 转移 到 同一 个 站 点 中 的 另 一 台 服 务 器 上 (如 果 存 
在 另 一 台 服 务 器 ]。 如 果 同 一 站 点 中 没有 其 他 服务 器 ， 客 户 端 可 以 将 故障 转移 到 连接 成 本 最 低 的 服 
务 器 上 (根据 “Active Directory 站 点 和 服务 ”管理 单元 中 的 定义 )。 
”在 本 地 服务 器 恢复 之 后 ， 可 以 配置 命名 空间 ， 以 便 客户 端 故障 回复 到 本 地 服务 器 。( 注 意 ， 此 功能 
要 求 在 客户 端 上 安装 热 修补 程序 ) 
图 7-114 示 出 了 “DFS 命名 空间 ”的 两 项 功能 因为 这 两 项 功能 可 
以 在 拥有 中 心 站 点 和 两 个 分 支 机 构 的 环境 中 使 用 。 假 定 在 正常 操作 期 间 ， 分 支 机 构 的 客户 端 使 用 命名 空间 
服务 器 中 的 引用 来 访问 本 地 服务 器 。 如 果 本 地 分 支 服务 器 出 现 故 障 ， 并 且 配 置 了 目标 优先 级 ， 可 能 会 进行 
故障 转移 ， 如 下 所 述 。 


一 一 > 主 路径 
一 一 一 故障 转移 路 径 
XX 网 络 故障 或 服务 器 故障 


首选 中 心服 务 器 ;分支 客户 
图 编 首先 故障 转移 到 此 服务 器 。 


“ 热 待机 ”中 4 心服 务 器 : 只 


此 服务 器 。 


分 支 机 构 


7-114 ”故障 转移 和 目标 优先 级 


里 “分支 站 点 中 的 客户 端 尝试 访问 本 地 服务 器 上 的 某 个 文件 夹 目 标 ， 但 是 该 服务 器 不 可 用 。 

于 “客户 端 尝试 将 故障 转移 到 中 心 站 点 的 两 台 服务 器 中 的 一 台 。 如 果 希 望 客户 端 始 终 将 故障 转移 到 中 
心 站 点 的 特定 服务 器 ， 那 么 可 以 将 中 心服 务 器 的 目标 优先 级 配置 为 成 本 相等 的 目标 中 的 第 一 项 。 
客户 端 先 尝试 故障 转移 到 这 台 首 选 的 中 心服 务 器 。 
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于 。 如 果 首 选 的 中 心服 务 器 不 可 用 , 客户 端 将 尝试 访问 另 一 台中 心服 务 器 (可 能 是 中 心 站 点 的 “ 热 待机 ” 
服务 器 ]。 可 以 将 此 中 心服 务 器 的 优先 级 配置 为 成 本 相等 的 所 有 目标 中 的 最 后 选项 。 


注意 : 如 上 文 所 述 ， 可 以 通过 配置 命名 空间 ， 使 分 支 机 构 中 的 客户 端 可 以 在 分 支 服务 器 恢复 后 ， 故 障 回 


复 到 分 支 服务 器 。 


7.4.3 数据 收集 


数据 收集 方案 有 助 于 避免 在 分 支 机 构 中 使 用 磁带 备份 。 要 实现 此 目标 ， 使 用 “DEFS 复制 ”将 数据 从 分 


支 机 构 的 某 台 服 务 器 复制 到 中 心 站 点 或 数据 中 心 的 某 台 服务 器 上 。 中 心 站 
点 的 管理 员 可 以 使 用 备份 软件 从 中 心服 务 器 备份 分 支 服务 器 的 数据 , 以 避 
免 让 最 终 用 户 在 没有 配备 受训 IT 人 员 的 分 支 机 构 执 行 备份 ， 因 为 这 个 过 
程 经 常 容易 出 错 。 集 中 备份 还 有 助 于 降低 硬件 成 本 和 运营 成 本 。 图 7-115 
为 说 明 此 方案 的 示意 图 。 

通过 RDC,“DFS 复制 ” 仅 复制 两 台 服务 器 之 间 不 同 的 内 容 (或 更 改 )， 
因此 , 可 以 使 复制 期 间 使 用 的 带宽 最 少 .对 于 与 中 心机 构建 立 低 带 宽 WAN 
连接 的 分 支 机 构 ， 这 一 点 非常 重要 。 此 外 ， 还 可 以 使 用 带宽 限制 来 控制 复 
制 期 间 所 使 用 的 带宽 ， 使 用 户 可 以 更 好 地 控制 WAN 通信 量 。 

将 “DFS 复制 ”与 “DFS 命名 空间 ”组 合 使 用 ， 可 以 通过 配置 命名 
空间 ， 使 分 支 客户 端 始终 连接 到 分 支 服务 器 上 。 如 果 分 支 服务 器 不 可 用 ， 
那么 分 支 客户 端 将 故障 转移 到 中 心服 务 器 。 如 果 配 置 了 客户 端 故障 回复 ， 
那么 分 支 客户 端 将 在 分 支 服务 器 恢复 之 后 故障 回复 到 分 支 服务 器 。 


© 注意 : 客户 端 故障 回复 要 求 在 客户 端 上 安装 热 修补 程序 。 


图 7-116 给 出 了 客户 端 故 障 回复 的 过 程 。 下 面 将 详细 地 介绍 该 过 程 。 
客户 端 用 了 转移 客户 并 故障 转移 


中 心 站 点 中 心 站 点 


分 支 机 构 分 支 机 构 


图 例 

一 X 一 > 网 络 故障 或 服务 器 故障 
一 一 > 故障 转移 路 径 

一 一 > 故障 回复 路 答 


图 7-116 故障 回复 过 程 
在 图 7-116 中 ， 客 户 端 故障 转移 和 故障 回复 的 工作 过 程 如 下 所 述 。 


中 心 站 点 


分 支 机 构 


7-115 ”数据 收集 
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本 地 分 支 服务 器 出 现 故 障 或 因为 网 络 问题 导致 不 可 用 。 

客户 端 故 障 转移 到 中 心 站 点 的 服务 器 。 在 客户 端的 引用 过 期 、 重 新 启动 客户 端 计算 机 或 清除 客户 
端的 引用 缓存 之 前 ， 客 户 端 将 一 直 访问 此 服务 器 。( 引 用 是 一 个 排序 的 服务 器 列表 ， 这 些 服务 器 托 
管 与 命名 空间 中 的 某 个 文件 夹 关联 的 共享 文件 夹 ] 

分 支 服务 器 恢复 。 

在 引用 过 期 、 重 新 启动 客户 端 或 清除 客户 端的 引用 缓存 之 后 ， 客 户 端 将 请 求 新 的 引用 。( 此 步骤 与 
分 支 服务 器 的 恢复 无 关 ) 

在 收 到 新 引用 之 后 ， 客 户 端 将 故障 回复 到 已 恢复 的 分 支 服务 器 。 


加 提示 : 关于 活动 目录 站 点 设计 ， 请 参照 本 系列 《掌控 Windows Server 2008 活动 目录 》 一 书 。 


7.4.4 


设计 命名 空间 


下 面 介绍 设计 命名 空间 层次 结构 ， 选 择 引用 排序 方法 和 目标 优先 级 ， 以 及 配置 客户 端 故障 回复 。 
命名 空间 层次 结构 
要 设计 命名 空间 层次 结构 ， 请 选择 命名 空间 的 名 称 (也 称 为 根 路 径 名 称 )， 将 出 现 根 路 径 下 的 文件 夹 的 


名 称 以 及 文件 夹 的 层次 结构 。 根 路 径 名 称 和 文件 夹 名 称 不 仅 应 反映 组 织 的 需要 ， 还 应 反映 用 户 计划 分 发 的 
数据 类 型 。 


应 根据 下 列 基本 准则 来 选择 命名 空间 名 称 和 文件 夹 名 称 。 


命名 空间 名 称 在 服务 器 名 称 或 域名 的 上 面 ， 位 于 逻辑 命名 空间 层次 结构 的 项 部。 此 级别 的 名 称 需 
要 标准 化 和 有 意义 ， 域 中 有 多 个 命名 空间 时 尤其 如 此 ， 因 为 用 户 是 通过 命名 空间 名 称 进 入 命名 
空间 的 。 

命名 空间 的 文件 夹 名 称 和 层次 结构 对 用 户 来 说 必须 尽 可 能 清楚 ， 以 便 用 户 不 会 进入 错误 的 路 径 而 
不 得 不 按 原 路 径 返回 。 要 尽 可 能 减少 用 户 进入 错误 路 径 的 次 数 ， 并 避免 用 户 在 与 不 必要 的 目标 建 
立 连 接 时 可 能 遇 到 的 延迟 ， 应 为 命名 空间 中 的 文件 夹 设 计 有 意义 的 命名 方案 。 

命名 空间 不 必 适 应 文件 系统 上 的 本 地 文件 组 织 ， 而 应 适应 组 织 的 业务 需要 。 

命名 空间 应 与 地 理 位 置 无 关 。 例 如 ， 即 使 华盛顿 的 用 户 只 看 到 应 用 程序 的 一 个 子 集 ， 创 建 命名 空 
间 路 径 ( 例 如 \\Contoso.com\Washington\Applications) 也 不 会 起 任何 作用 。 禁 用 给 定 服务 器 上 已 
复制 文件 夹 的 成 员 身 份 ， 以 便 在 发 布 时 控制 此 准则 。 


如 果 计 划 创 建 包含 大 量 文件 夹 的 命名 空间 ， 那 么 命名 方案 和 层次 结构 尤其 重要 ， 可 以 使 用 户 不 必 扫 描 
长 长 的 文件 夹 列表 来 查找 所 需 的 文件 夹 。 使 用 没有 目标 (本 质 上 是 命名 空间 子 文件 夹 ] 的 文件 夹 可 以 帮助 构 
建 更 深 的 层次 结构 ， 使 用 户 可 以 从 少量 的 顶级 文件 夹 中 作出 选择 。 

要 减少 命名 空间 层次 并 减少 用 户 在 浏览 该 命名 空间 时 看 到 的 文件 夹 数量 ， 应 考虑 使 用 基于 访问 权限 的 
文件 夹 枚 举 。 该 功能 在 Windows Server 2003 SP1 中 初次 引用 ， 可 以 对 没有 访问 权限 的 用 户 隐藏 文件 夹 。 


7.4.5 


引用 排序 和 目标 优先 级 


在 客户 端 计 算 机 尝试 访问 命名 空间 时 ， 域 控制 器 或 命名 空间 服务 器 将 提供 对 该 客户 端的 引用 。 引 用 包 
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含 按照 当前 配置 的 排序 方法 和 目标 优先 级 进行 排序 的 目标 服务 器 列表 。 客 户 端 访问 命名 空间 根 路 径 或 命名 
空间 中 的 某 个 文件 夹 时 ， 将 尝试 访问 引用 项 部 的 第 一 个 目标 ;如 果 前 面 的 目标 不 可 用 ， 客 户 端 将 转 到 下 一 
个 目标 。 

默认 情况 下 ， 将 选择 最 低 成 本 排序 方法 ， 如 图 7-117 所 示 。 在 此 方法 中 ， 目 标 如 下 所 述 进行 排序 (假定 
没有 目标 优先 级 设置 覆盖 此 方法 的 默认 行为 ]。 


7-117 设置 引用 规则 


里 ”与 客户 端 处 于 同一 活动 目录 站 点 的 目标 按照 随机 顺序 列 在 引用 的 顶部 。 
于 “客户 端 站 点 之 外 的 目标 按照 最 低 成 本 到 最 高 成 本 的 顺序 列 出 。 成 本 相同 的 引用 组 合 在 一 起 ， 每 个 
组 中 的 目标 按照 随机 顺序 列 出 。 

如 果 和 希望 禁止 分 支 客户 端 故障 转移 到 其 他 分 支 站 点 中 的 分 支 服务 器 ， 那 么 为 每 个 包含 目标 的 文件 夹 选 
择 “ 排 除 客户 端 站 点 之 外 的 目标 ”排序 方法 ， 然 后 通过 选择 “所 有 目标 中 的 最 后 一 项 ”目标 优先 级 ， 为 每 
个 中 心服 务 器 的 文件 夹 目标 设置 目标 优先 级 。 选 择 这 两 个 选项 的 结果 如 下 。 

于 “排除 客户 端 站 点 之 外 的 目标 ”设置 确保 只 有 客户 端 站 点 内 的 目标 将 加 入 引用 。 

和 “所 有 目标 中 的 最 后 一 项 ”设置 通过 将 中 心服 务 器 加 入 引用 ， 覆 盖 引 用 排序 方法 ， 即 使 中 心服 务 

器 不 在 客户 端 站 点 中 也 是 如 此 。( 如 果 多 台中 心服 务 器 作为 给 定 文件 夹 的 目标 使 用 ,那么 这 些 中 心 
服务 器 将 在 引用 中 最 后 出 现 ， 在 其 他 目标 之 后 按照 最 低 成 本 的 顺序 进行 排序 ) 

如 果 计 划 使 用 最 低 成 本 引用 排序 和 目标 优先 级 ， 那 么 要 注意 ， 域 控制 器 和 命名 空间 服务 器 必须 运行 本 
指南 前 面 的 ““DFS 命名 空间 ”的 要 求 ” 中 所 述 的 操作 系统 。 如 果 域 控制 器 或 命名 空间 服务 器 运行 的 是 
Windows 2000 Server， 那 么 无 法 根据 成 本 或 优先 级 提供 引用 。 这 些 服务 器 中 的 引用 将 使 用 随机 引用 排序 ， 
如 下 所 述 (假定 没有 目标 优先 级 设置 覆盖 此 方法 的 默认 行为 )。 

里“ 与 客户 端 处 于 同一 站 点 的 目标 按照 随机 顺序 列 在 引用 的 顶部 。 

“客户 端 站 点 之 外 的 目标 按照 随机 顺序 列 出 。 如 果 没 有 处 于 同一 站 点 的 目标 服务 器 ， 那 么 客户 端 计 

算 机 将 引用 到 随机 目标 服务 器 ， 与 连接 的 成 本 或 目标 的 距离 无 关 。 

只 有 在 Active Directory 中 启用 了 “为 所 有 站 点 链接 拱桥” 选项， 最 低 成 本 排序 方法 才 适 用 于 所 有 目 
标 。( 此 选项 以 及 站 点 链接 成 本 在 “Active Directory 站 点 和 服务 ”管理 单元 中 提供 )] 运 行 Windows Server 
2008 的 站 点 间 拓 扑 生成 器 需要 选中 “为 所 有 站 点 链接 搭桥 ” 复 选 框 , 才能 生成 站 点 间 成 本 矩阵 ， 以 满足 “分 
布 式 文件 系统 ”服务 的 站 点 成 本 计算 功能 的 需要 。 

如 果 禁 用 此 选项 ， 那 么 “分 布 式 文件 系统 ”服务 仅 计算 从 分 支 位 置 到 其 他 具有 直接 站 点 链接 的 站 点 的 
成 本 。 所 有 没有 直接 站 点 链接 的 站 点 将 使 用 可 能 的 最 大 成 本 。 例 如 ， 假 定 分 支 站 点 与 三 个 区 域 数据 中 心 之 
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间 的 拓扑 如 图 7-118 所 示 进 行 配置 。 


地 ) 


成 本 -20 
”区 域 数 据 中 心 站 点 3 


成 本 -20 I 区 域 数据 中 心 站 点 2 


区 域 堵 据 中 心 站 点 1 


一 一 一 未 启用 站 点 链接 桥接 


7-118 ”站 点 间 链 接 成 本 


如 图 7-118 所 示 , 分 支 站 点 与 区 域 数据 中 心 站 点 1 之 间 具 有 站 点 链接 。 分 支 站 点 与 其 他 区 域 数据 中 心 
之 间 没 有 配置 站 点 链接 。 分 支 站 点 中 的 客户 端 收 到 引用 时 ， 目 标 将 按 如 下 所 述 进行 排序 。 
里 “分支 站 点 中 的 服务 器 。( 因 为 服务 器 与 客户 端 处 于 同一 站 点 ， 所 以 ， 其 成 本 为 0) 
于。 区域 数 据 中心 站 点 1 中 的 服务 器 。( 因 为 此 数据 中 心 与 分 支 机 构 之 间 存 在 站 点 链接 ， 所 以 ， 此 服 
务 器 第 二 个 列 出 ) 
里 按照 随机 顺序 列 出 接 下 来 的 两 个 数据 中 心 。( 因 为 “分 布 式 文件 系统 ”服务 无 法 确定 其 站 点 成 本 ， 
所 以 ， 这 两 台 服务 器 按照 随机 顺序 列 出 ) 
如 果 启 用 了 “为 所 有 站 点 链接 搭桥 ” 选项， 那么 引用 中 的 服务 器 将 按照 以 下 顺序 列 出 。 
分 支 站 点 中 的 服务 器 。 
区 域 数据 中 心 站 点 1 中 的 服务 器 。( 成 本 = 10) 
区 域 数据 中 心 站 点 2 中 的 服务 器 。( 成 本 = 30) 
区 域 数据 中 心 站 点 3 中 的 服务 器 。( 成 本 = 50) 


7.4.6 ”客户 端 故障 回复 


“DFS 命名 空间 ”中 的 客户 端 故障 转移 是 在 一 台 服 务 器 发 生 故 障 或 从 命名 空间 中 删除 之 后 ， 客 户 端 尝 
试 访问 引用 中 另 一 台 服 务 器 的 过 程 。 如 果 客户 端 故障 转移 到 中 心服 务 器 并 在 分 支 服务 器 恢复 之 后 仍 继续 访 
问 中 心服 务 器 ， 可 能 不 需要 执行 此 行为 。 如 图 7-119 所 示 ， 如 果 希 望 在 本 地 服务 器 恢复 之 后 ， 客 户 端 故障 
回复 到 首选 的 本 地 服务 器 ， 那 么 需要 为 根 路 径 选中 “客户 端 故障 回复 到 首选 目标 ” 复 选 框 。 如 果 为 根 路 径 
选择 了 此 复 选 框 ， 那 么 包含 目标 的 文件 夹 也 将 使 用 故障 回复 。 
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7-119 客户 端 故 障 回复 设置 


7.5 “ 脱 机 使 用 文件 来 


7.5.1 了 解脱 机 文件 


如 果 用 户 需 要 访问 存储 在 网 络 上 共享 文件 夹 中 的 重要 文件 ， 但 是 由 于 网 络 连接 不 可 用 而 无 法 访问 ， 则 
应 该 了 解脱 机 文件 的 需求 。 使 用 脱 机 文件 ， 即 使 在 网 络 副本 不 可 用 时 ， 也 可 以 访问 存储 在 共享 网 络 文件 来 
中 的 文件 。 可 以 通过 选择 要 在 脱 机 时 可 用 的 网 络 文件 来 执行 此 操作 ， 这 会 自动 在 计算 机 上 创建 网 络 文件 的 
副本 。 这些 存储 在 计算 机 上 的 网 络 文件 副本 称 为 脱 机 文件 。Windows 会 在 网 络 版 本 不 可 用 时 自动 为 用 户 同 
步 脱 机 文件 并 打开 它们 。 

可 以 在 连接 到 存储 网 络 文件 的 计算 机 时 访问 网 络 文件 ， 如 图 7-120 所 示 。 

可 以 在 无 法 连接 到 存储 网 络 文件 的 计算 机 时 访问 网 络 文件 的 本 地 副本 ， 如 图 7-121 所 示 。 


Le 本 


计算 机 网 络 文件 计算 机 网 络 文件 


图 7-120 ”连接 网 络 同步 文件 图 7-121 断 开 网 络 脱 机 使 用 


7.5.2 ”使 用 脱 机 文件 的 原因 


脱 机 文件 对 于 使 用 共享 网 络 文件 夹 存储 文件 的 用 户 有 以 下 几 个 优点 。 

里 保护 用 户 不 出 现 网 络 问题 。 使 用 脱 机 文件 时 ， 不 管 是 网 络 关闭 或 是 所 访问 的 网 络 文件 夹 不 可 用 ， 
这 都 没有 关系 。 如 果 发 生 上 述 两 种 情况 ，Windows 会 自动 开始 访问 存储 在 计算 机 上 的 文件 的 脱 机 
副本 ， 而 不 是 访问 网 络 文件 夹 中 的 文件 ， 且 用 户 可 以 继续 进行 处 理 而 不 被 中 断 。 

于 ”离开 网 络 时 使 用 文件 。 从 网 络 断 开 连 接 时 ， 通 常会 失去 访问 存储 在 网 络 上 的 任何 文件 的 能 力 。 但 
是 使 用 脱 机 文件 ， 可 以 从 网 络 断 开 连 接 ， 并 仍 具 有 设置 为 脱 机 可 用 的 所 有 网 络 文件 的 副本 。 这 在 
携带 移动 PC 旅行 时 特别 有 用 。 

a 与 网 络 文件 轻松 同步 。 任 何 时 候 用 户 想 和 网 络 文件 夹 中 的 最 新 版 本 的 文件 同步 时 ， 只 需 单 击 一 下 


Om 系统 管理 之 和 


7.5.3 


按钮 ， 脱 机 文件 就 可 以 执行 此 操作 。 

在 较 慢 连 接 上 工作 时 提高 效率 。 连 接 到 连接 较 慢 的 网 络 时 ， 使 用 共享 网 络 文件 夹 中 文件 的 效率 很 
低 ， 而 且 很 慢 。 通 过 随时 轻松 地 切换 到 使 用 网 络 文件 的 脱 机 副本 ， 脱 机 文件 使 用 户 免除 了 此 问题 
的 困扰 。 


保持 脱 机 文件 同步 


选择 要 设置 为 脱 机 可 用 的 网 络 文件 或 文件 夹 时 , Windows 会 自动 在 计算 机 上 创建 该 文件 或 文件 夹 的 副 
本 。 任何 时 候 重新 连接 到 该 网 络 文件 夹 时 ，Windows 都 会 同步 计算 机 和 网 络 文件 夹 之 间 的 文件 。 还 可 以 随 
时 手动 同步 这 些 文件 。 

这 就 是 保持 脱 机 文件 同步 所 要 了 解 的 内 容 。 但 是 ， 对 于 一 些 好 奇 的 人 ， 还 有 其 他 一 些 详细 信息 。 


7.5.4 


如 果 用 户 脱 机 工作 ， 并 从 网 络 文件 夹 对 脱 机 文件 进行 更 改 ， 则 Windows 会 在 下 次 连接 到 网 络 文 
件 夹 时 自动 同步 对 文件 进行 的 更 改 。 

如 果 用 户 脱 机 工作 时 其 他 人 对 共享 网 络 文件 夹 中 的 文件 进行 更 改 ， 则 Windows 会 在 下 次 连接 到 
该 网 络 文件 夹 时 将 这 些 更 改 与 用 户 计算 机 上 的 脱 机 文件 同步 。 如 果 上 次 连接 到 网 络 文件 夹 以 后 用 
户 也 更 改 了 这 些 文件 ， 则 会 发 生 同步 冲突 ，Windows 会 询问 用 户 想 要 保留 哪个 版 本 。 

如 果 Windows 尝试 在 计算 机 和 网 络 文件 夹 之 间 同 步 脱 机 文件 时 遇 到 问题 (例如 , 如 果 尝试 同步 的 
网 络 文件 夹 不 可 用 )， 则 会 发 生 同 步 错误 。 有 关 详 细 信 息 ， 请 参阅 了 解 同 步 错误 和 警告 。 


示例 : 脱 机 使 用 文件 来 


Vista 不 需要 安装 任何 功能 就 支持 脱 机 使 用 文件 夹 '，Windows Server 2008 需要 安装 “桌面 体验 ”功能 ， 
才 支 持 脱 机 使 用 共享 的 文件 夹 。 
在 Sales 计算 机 脱 机 使 用 FileServer 计算 机 上 的 “安装 文件 ”。 


© 


© 
@ 
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在 FileServer 计算 机 上 右 击 共享 的 “安装 文件 ”， 从 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 如 
图 7-122 所 示 ， 在 “文件 夹 属性 ”对 话 框 的 “共享 ”选项 卡 中 ， 单 击 “ 高 级 共享 ”按钮 。 

如 图 7-122 所 示 ， 在 “高 级 共享 ”对 话 框 中 单 击 “ 缓 在 ”按钮 。 

如 图 7-123 所 示 ， 在 “ 脱 机 设置 ”对 话 框 中 选中 “只 有 用 户 指定 的 文件 和 程序 才能 在 脱 机 状态 下 
可 用 ” 单 选 按钮 ， 单 击 “ 确 定 ” 按 钮 。 


图 7-122 配置 共享 文件 夹 图 7-123 ”共享 文件 夹 允 许 缓存 


加 ”如 图 7-124 所 示 ， 在 Sales 计算 机 上 。 选 择 “ 开 始 ” 一 “设置 ”一 “控制 面板 ”一 “ 脱 机 文件 ” 


命令 。 
回 ”如 图 7-125 所 示 , 默认 Vista 操作 系统 已 经 开启 了 脱 机 文件 夹 ，Windows Server 2008 操作 系统 默 
认 禁 用 脱 机 文件 。 


图 7-124 配置 脱 机 文件 图 7-125 默认 启用 脱 机 文件 


@ 如 图 7-126 所 示 ， 打 开 FileServer 服务 器 上 共享 的 文件 夹 ， 右 击 FileServer.txt， 从 弹出 的 快捷 菜 
单 中 选择 “始终 脱 机 可 用 ”命令 。 
@ ”如 图 7-127 所 示 ， 可 以 看 到 脱 机 的 文件 ， 图 标 已 经 变 成 他 | Fleserver 。 
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图 7-126 脱 机 使 用 文件 图 7-127 脱 机 的 文件 图 标 

断 开 Sales 的 网 络 连接 。 现 在 服务 器 不 可 访问 。 

@ 单 击 工具 栏 中 的 “同步 中 心 ” 按 

如 图 7-128 所 示 ， 单 击 “ 脱 机 文件 ”按钮 。 

四 如 图 7-129 所 示 ， 打 开 常 用 文件 夹 中 的 安装 文件 ， 可 以 看 到 FileServer.txt 文件 夹 ， 双 击 可 以 将 其 
打开 。 编 辑 后 保存 。 

四 ”用户 也 可 以 如 同 网 络 连接 正常 时 一 样 的 方式 访问 脱 机 文件 ， 如 图 7-130 所 示 ， 在 “运行 ”对 话 框 
中 输入 “\\Ess.com”， 按 Enter 键 ， 可 以 看 到 “常用 文件 ”中 的 FileServer.txt 文件 可 访问 。 

四 如 图 7-131 所 示 , 将 Sales 计算 机 的 网 络 连接 , 右 击 FileServer.txt, 从 弹出 的 快捷 菜单 中 选择 “ 同 


步 ” 命 令 。 


267 1 


[268 1 


He Ede Men WH Tam ACE Wedows ep 
CDOT TL 


Foe Vow eam ce Wndor nm 
CT CE lssl) 
or EE 


7-129 ”查看 脱 机 的 文件 


Fer 


图 7-130” 像 联网 时 一 样 访问 图 7-131 同步 文件 


7.6 ”限制 文件 夹 的 大 小 


在 文件 服务 器 文件 夹 的 “配额 管理 ”节点 上 ， 可 以 执行 下 列 任务 。 


通过 创建 配额 来 限制 卷 或 文件 夹 使 用 的 空间 ， 并 在 接近 或 达到 配额 限制 时 生成 通知 。 
生成 应 用 于 卷 或 文件 夹 中 所 有 现 有 子 文件 夹 以 及 将 来 创建 的 任何 子 文件 夹 的 自动 应 用 配额 。 
定义 可 以 很 容易 应 用 于 新 的 卷 或 文件 夹 然后 可 以 在 整个 组 织 中 使 用 的 配额 模板 。 


例如 ， 可 以 执行 以 下 任务 。 


对 用 户 的 个 人 服务 器 文件 夹 设 置 200 MB 的 限制 ， 并 在 超过 180 MB 存储 空间 时 通知 你 和 用 户 。 
对 组 的 共享 文件 夹 设置 灵活 的 500 MB 配额 。 达 到 此 存储 限制 时 ， 将 通过 电子 邮件 通知 组 中 的 所 
有 用 户 , 存储 配额 已 临时 扩展 到 520 MB， 以 便 用 户 可 以 删除 不 必要 的 文件 并 符合 预 设 的 500 MB 
配额 策略 。 

临时 文件 夹 达到 2 GB 时 接收 通知 ， 然 而 不 对 该 文件 夹 的 配额 设置 任何 限制 ， 因 为 这 是 服务 器 上 
运行 的 服务 所 需 。 
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7.6.1 示例 : 创建 文件 夹 限额 


设置 FileServer 服务 器 上 的 “安装 文件 ”文件 夹 的 大 小 。 限 制 为 200 MB。 

@ 选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 “文件 服务 器 资源 管理 器 ”命令 。 

@ ”如 图 7-132 所 示 ， 在 “文件 服务 器 资源 管理 器 ”对 话 框 中 ， 单 击 “ 创 建 配额 ”按钮 。 

@ 如 图 7-133 所 示 ， 在 出 现 的 对 话 框 中 ， 指 定 使 用 配额 的 文件 夹 。 选 中 “在 路 径 上 创建 配额 ” 单 选 
按钮 ,选择 “从 此 配额 模板 派生 属性 (推荐 选项 )” 单 选 按 钮 , 从 下 拉 列 表 中 选择 “针对 用 户 的 200 MB 

限制 报告 ”选项 ， 单 击 “ 创 建 ” 按 钮 。 


图 7-132 创建 配额 图 7-133 选 定 目录 
图 将 一 个 300 MB 的 视频 文件 复制 到 “安装 文件 ”， 提 示 磁 盘 空间 不 足 ， 如 图 7-134 所 示 。 


图 7-134 文件 夹 限额 生效 


7.6.2 ”管理 配额 模板 


如 图 7-135 所 示 , 单 击 “ 配 额 模板 ”， 可 以 创建 配额 模板 。 也 可 以 双击 现 有 的 配额 模板 , 编辑 现 有 模板 。 
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图 7-135 “创建 或 编辑 配额 模板 
7.7 ”限制 文件 来 存放 的 文件 类 型 


我 们 可 以 指定 某 个 文件 夹 能 够 存放 的 文件 类 型 ， 它 是 基于 文件 的 扩展 名 来 控制 的 。 通 过 创建 文件 屏蔽 
来 控制 用 户 可 以 保存 的 文件 类 型 以 及 在 用 户 尝试 保存 未 经 授权 的 文件 时 生成 通知 。 定 义 可 以 应 用 于 新 的 卷 
或 文件 夹 以 及 可 以 在 整个 组 织 中 使 用 的 文件 屏蔽 模板 。 还 创建 增强 文件 屏蔽 规则 灵活 性 的 文件 屏蔽 例外 。 


例如 : 确保 服务 器 上 的 个 人 文件 夹 中 未 存储 任何 音乐 文件 ， 还 可 以 允许 存储 支持 法 律 权限 管理 或 符合 
公司 策略 的 特定 媒体 文件 类 型 。 在 该 情况 下 ， 可 能 需要 为 公司 的 副 总 授予 在 个 人 文件 夹 中 存储 任何 文件 类 
型 的 特殊 权限 。 


执行 屏蔽 进程 ， 在 共享 文件 夹 中 存储 可 执行 文件 时 通过 电子 邮件 通知 你 ， 其 中 包含 存储 文件 的 用 户 和 
文件 的 准确 位 置 等 信息 ， 以 便 采 取 相应 的 预防 措施 。 


7.7.1 创建 文件 屏蔽 
如 图 7-136、 图 7-137 所 示 , 创建 文件 屏蔽 ， 拒 绝 在 “安装 文件 ”文件 夹 以 及 子 文件 夹 中 存放 图 片 文件 。 
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图 7-136 创建 文件 屏蔽 图 7-137 指定 目录 和 屏蔽 类 型 
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如 图 7-138 所 示 ， 在 E 盘 根 目 录 下 创建 一 个 图 片 test.bmp， 发 现 不 能 将 该 文件 拖 忠 到 E:\ 安 装 文件 目 
录 下 ， 提 示 用 户 没 有 权限 。 


7.7.2 创建 文件 屏蔽 例外 


在 “安装 文件 ”文件 夹 中 ， 有 一 个 Picture 子 文件 夹 ， 要 求 能 够 存储 图 片 ， 这 时 就 需要 创建 一 个 文件 屏 
项 例外 。 
@ 如 图 7-139 所 示 ， 单 击 “ 创 建文 件 屏蔽 例外 ”按钮 。 
@ ”如 图 7-140 所 示 ， 在 出 现 的 对 话 框 中 ， 输 入 “E:\ 安 装 文件 Picture”， 选 中 “图 像 文 件 ” 复 选 框 。 
单 击 “ 确 定 ”按钮 。 
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图 7-139 创建 文件 屏蔽 例外 图 7-140 ”指定 目录 和 例外 的 文件 类 型 
图 如 图 7-141 所 示 ， 现 在 在 “安装 文件 ” 夹 的 Picture 目录 下 可 以 存放 图 片 文件 。 
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图 7-141 文件 屏蔽 例外 
7.7.3 ”管理 文件 组 


文件 组 可 以 编辑 和 创建 ， 文 件 屏蔽 就 是 基于 文件 的 扩展 名 来 控制 的 。 


@ 如 图 7-142 所 示 ， 选 择 “ 文 件 组 ”， 单 击 “ 创 建文 件 组 ”按钮 ， 可 以 创建 新 的 文件 组 。 


@@ 如 图 7-143 所 示 ， 双 击 图 片 文 件 ， 可 以 修改 图 片 文件 包括 的 文件 扩展 名 ， 也 可 以 指定 排除 的 文 
件 名 。 
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7-142 ”创建 文件 组 图 7-143 ”可 以 排除 特定 的 文件 名 
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通过 查看 Windows 日 志 可 以 发 现 系统 运行 过 程 是 人 @ 关键 词 

中 出 现 的 错误 、 警 告 以 及 信息 ， 也 能 够 看 到 安全 审核 管理 Windows 日 志 

记录 的 信息 。 通 过 查看 日 志 中 的 错误 ， 可 以 知道 系统 订阅 远程 计算 机 的 日 志 

内 部 出 现 的 问题 ， 为 我 们 排除 操作 系统 的 疑难 错误 提 利用 任务 管理 器 监控 系统 资源 

供 解决 问题 的 线索 。 利用 “系统 监视 器 ”检测 系统 性 能 
可 以 订阅 其 他 服务 器 的 日 志 ， 这 样 可 以 在 一 个 服 监控 远程 计算 机 性 能 

务 器 上 集中 查看 网 络 中 服务 器 的 日 志 ， 有 利于 发 现 较 跟踪 检测 计算 机 性 能 

为 普遍 的 错误 和 警告 。 比 如 在 众多 的 服务 器 上 出 现 了 使 用 Windows 系统 资源 管理 器 


任务 管理 器 可 以 实时 监控 服务 器 内 存 和 CPU 
的 使 用 情况 ， 能 够 结束 不 响应 的 程序 或 进程 ， 可 以 发 
现 消耗 内 存 和 CPU 的 进程 。 

利用 系统 监视 器 检测 系统 性 能 ， 可 以 监控 操作 系 
统 任何 指标 ， 比 如 网 络 流量 ， 磁 盘 的 读 写 ， 内 存 的 使 
用 情况 以 及 CPU 的 使 用 。 使 用 系统 内 置 的 数据 收集 器 
以 跟踪 服务 器 运行 ， 给 出 诊断 报告 ， 找 到 服务 器 的 
瓶颈 。 比 如 内 存 小 ， 或 磁盘 读 写 慢 ， 或 CPU 太 慢 等 。 
如 果 服 务 器 安装 了 多 个 应 用 程序 ， 或 多 个 用 户 使 
用 ， 通 过 使 用 Windows 系统 资源 管理 器 ， 可 以 控制 内 
存 和 CPU 的 分 配 。 
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8.1 Windows 日 志 


Windows 日 志 类 别 包括 以 下 在 早期 版 本 的 Windows 中 可 用 的 日 志 : 应 用 程序 、 安 全 和 系统 日 志 。 此 
外 还 包括 两 个 新 的 日 志 : 安装 程序 日 志和 Forwarded Events 日 志 。Windows 日 志 用 于 存储 来 自 旧 版 应 用 
程序 的 事件 以 及 适用 于 整个 系统 的 事件 。 


8.1.1 事件 日 志 的 类 型 


如 图 8-1 所 示 ， 打 开 事 件 查看 器 ， 可 以 看 到 以 下 日 志 类 型 。 
1. 应 用 程序 日 志 


应 用 程序 日 志 包含 由 应 用 程序 或 程序 记录 的 事件 。 例 如 ， 数 据 库 程 序 可 在 应 用 程序 日 志 中 记录 文件 错 
误 。 程 序 开发 人 员 决 定 记录 哪些 事件 。 


2. 安全 日 志 


安全 日 志 包含 诸如 有 效 和 无 效 的 登录 尝试 等 事件 ， 以 及 与 资源 使 用 相关 的 事件 ， 如 创建 、 打 开 或 删除 
文件 或 其 他 对 象 。 管 理 员 可 以 指定 在 安全 日 志 中 记录 什么 事件 。 例 如 ， 如 果 已 启用 登录 审核 ， 则 对 系统 的 
登录 尝试 将 记录 在 安全 日 志 中 。 


3. 安装 程序 日 志 
安装 程序 日 志 包含 与 应 用 程序 安装 有 关 的 事件 。 
4. 系统 日 志 


系统 日 志 包含 Windows 系统 组 件 记录 的 事件 。 例 如 ， 在 启动 过 程 中 加 载 驱动 程序 或 其 他 系统 组 件 失 
败 将 记录 在 系统 日 志 中 。 系 统 组 件 所 记录 的 事件 类 型 由 Windows 预先 确定 。 
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图 8-1 日 志 类 型 
5. Forwarded Events 日 志 


Forwarded Events 日 志 用 于 存储 从 远程 计算 机 收集 到 的 事件 。 若 要 从 远程 计算 机 收集 事件 ， 必 须 创 建 
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事件 订阅 。 
6. 应 用 程序 和 服务 日 志 


应 用 程序 和 服务 日 志 是 一 种 新 类 别 的 事件 日 志 。 这 些 日 志 存 储 来 自 单个 应 用 程序 或 组 件 的 事件 ， 而 非 
可 能 影响 整个 系统 的 事件 。 

此 类 别 的 日 志 包括 四 个 子 类 型 : 管理 日 志 、 操 作 日 志 、 分 析 日 志和 调试 日 志 。 管 理 日 志 中 的 事件 尤其 
受 使 用 事件 查看 器 解决 问题 的 IT 专业 人 士 的 关注 。 管理 日 志 中 的 事件 应 该 提供 有 关 如 何 对 事件 做 出 响应 的 
指南 。 操 作 日 志 中 的 事件 对 IT 专业 人 士 也 很 有 用 ， 但 他 们 可 能 需要 更 多 解释 。 

管理 日 志和 调试 日 志 不 那么 友好 。 分 析 日 志 存 储 跟踪 问题 事件 ， 通 常 需要 大 量 记 录 。 调 试 日 志 由 开发 
人 员 在 调试 应 用 程序 时 使 用 。 默 认 情 况 下 ， 分 析 日 志和 调试 日 志 都 为 隐藏 和 禁用 状态 。 若 要 使 这 些 日 志 可 
见 ， 请 按照 显示 或 隐藏 分 析 日 志和 调试 日 志 中 的 步骤 操作 。 若 要 启用 这 些 日 志 ， 请 按照 启用 分 析 日 志和 调 
试 日 志 中 的 步骤 操作 。 


8.1.2 事件 属性 


和 ”来源 : 记录 事件 的 软件 ， 可 以 是 程序 名 (如 SQL Server)， 也 可 以 是 系统 或 大 型 程序 的 组 件 (如 驱动 
程序 名 ]。 例 如 ，Elnkii 表示 EtherLink ll 驱动 程序 。 

”事件 ID: 标识 特定 事件 类 型 的 编号 。 描 述 的 第 一 行 通常 包含 事件 类 型 的 名 称 。 例 如 ，6005 是 在 
启动 事件 日 志 服务 时 所 发 生 事件 的 ID。 此 类 事件 的 描述 的 第 一 行 是 “事件 日 志 服务 已 启动 ”。 产 
品 支持 代表 可 以 使 用 事件 ID 和 来 源 来 解决 系统 问题 。 

里 级别: 事件 严重 性 的 分 类 。 以 下 事件 严重 性 级 别 可 能 出 现在 系统 和 应 用 程序 日 志 中 。 
。 ”信息 。 指 明 应 用 程序 或 组 件 发 生 了 更 改 ， 如 操作 成 功 完成 、 已 创建 了 资源 ， 或 已 启动 了 服务 。 

警告 。 指 明 出 现 的 问题 可 能 会 影响 服务 器 或 导致 更 严重 的 问题 (如 果 未 采取 措施 ] 。 

。 错误。 指明 出 现 了 问题 ， 这 可 能 会 影响 触发 事件 的 应 用 程序 或 组 件 外 部 的 功能 。 
。 关键 。 指 明 出 现 了 故障 ， 导 致 触发 事件 的 应 用 程序 或 组 件 可 能 无 法 自动 恢复 。 
以 下 事件 严重 性 级 别 可 能 出 现在 安全 日 志 中 ， 如 图 8-2 所 示 。 
。 Success Audit。 指 明 用 户 操作 成 功 。 
。 审核 失败 。 指 明 用 户 操作 失败 。 
。 ”在 事件 查看 器 的 正常 列表 视图 中 ， 这 些 分 类 都 由 符号 表示 。 

和 ”用户 : 事件 发 生 所 代表 的 用 户 的 名 称 。 如 果 事 件 实际 上 是 由 服务 器 进程 所 引起 的 ， 则 此 名 称 为 客 
户 端 ID; 如 果 没 有 发 生 模仿 的 情况 , 则 为 主 ID。 如果 适用 , 安全 日 志 项 同时 包含 主 ID 和 模仿 ID。 
当 服 务 器 允许 一 个 进程 采用 另 一 个 进程 的 安全 属性 时 就 会 发 生 模拟 的 情况 。 

e。 操作 代码 : 包含 标识 活动 或 应 用 程序 引起 事件 时 正在 执行 的 活动 中 的 点 的 数字 值 。 例 如 ， 初 始 化 
或 关闭 。 

日志: 已 记录 事件 的 日 志 的 名 称 。 

”任务 类 别 : 用 于 表示 事件 发 行者 的 子 组 件 或 活动 。 

”关键 字 : 可 用 于 筛选 或 搜索 事件 的 一 组 类 别 或 标记 。 示 例 包 括 “ 网 络 ”、“ 安 全 ”或 “未 找到 
资源 ”。 

”计算 机 : 发 生 事件 的 计算 机 的 名 称 。 该 计算 机 名 称 通常 为 本 地 计算 机 的 名 称 ， 但 它 可 能 是 已 转发 
事件 的 计算 机 的 名 称 ， 或 者 可 能 是 名 称 更 改 之 前 的 本 地 计算 机 的 名 称 。 
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a 日 期 和 时 间 : 记录 事件 的 日 期 和 时 间 。 


图 8-2 日 志 属 性 


8.1.3 自 定义 视图 


在 早期 版 本 的 事件 查看 器 中 ， 可 以 筛选 事件 日 志 中 的 事件 。 为 创建 筑 选 器 ， 指 定 了 一 组 用 于 确定 日 志 
中 哪些 事件 可 见 和 哪些 事件 隐藏 的 规则 。 例 如 ， 可 以 指定 只 有 等 级 值 为 “错误 ”或 “警告 ”的 事件 才 应 该 
可 见 。 
筛选 事件 的 功能 非常 关键 。 只 需要 重点 关注 适用 于 正在 调查 的 问题 的 那些 事件 。 事 件 查看 器 的 最 新 版 
本 将 筛选 的 概念 扩展 到 超出 单个 事件 日 志 以 外 。 它 使 你 可 以 创建 一 组 规则 ， 这 些 规 则 选择 来 自 所 指定 源 的 
事件 ， 并 只 显示 来 自 其 属性 值 满足 这 些 规则 的 那些 源 的 事件 。 
创建 只 显示 对 于 特定 问题 所 关注 的 事件 可 能 会 需要 很 长 时 间 。 自 定义 视图 提供 了 一 种 保存 此 工作 的 方 
式 。 创 建 只 显示 所 关注 记录 的 筛选 器 后 ， 就 可 以 提供 筛选 器 的 名 称 并 将 其 保存 以 供 以 后 使 用 。 这 个 保存 的 
筛选 器 就 是 一 个 自 定义 视图 。 
示例 ， 显 示 最 近 7 天 ， 系 统 出 现 的 错误 和 警告 。 
Q@@ 如 图 8-3 所 示 ， 单 击 “ 自 定义 视图 ”， 单 击 “ 创 建 自 定义 视图 ”按钮 。 在 打开 的 “创建 自 定义 视 
图 ”对 话 框 中 ， 记 录 时 间 选 择 “ 最 后 7 天 ”， 事 件 类 型 选中 “错误 ”和 “和 警告 ”， 按 日 志 选 中 “ 系 
统 ”。 单 击 “ 确 定 ”按钮 。 
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图 8-3 创建 自 定义 视图 
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回 如 图 8-4 所 示 ， 输 入 名 称 “最 近 7 天 的 错误 和 警告 ”， 单 击 “ 新 建文 件 夹 ”按钮 ， 输 入 “我 的 
视图 ”。 
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图 84 输入 名 称 


@ 如 图 8-5 所 示 ， 单 击 “ 我 的 视图 ”下 的 “最 近 7 天 的 错误 和 警告 ”选项 ， 可 以 看 到 筛选 出 来 的 系 
统 产生 的 错误 和 警告 。 


图 8-5 通过 视图 查看 


8.1.4 ”管理 日 志 


事件 日 志 存 储 在 文件 中 。 这 些 文件 的 大 小 都 有 可 以 更 改 的 默认 最 大 值 。 可 以 通过 使 用 Windows 界面 
或 命令 行 执行 此 过 程 。 


中 如 图 8-6 所 示 ， 展 开 “Windows 日 志 ” 一 “系统 ”节点 ， 单 击 “ 属 性 ”按钮 ， 在 出 现 的 “日 志 属 


性 ”对 话 框 中 ， 可 以 设置 日 志 的 存储 位 置 ， 日 志 最 大 大 小 ， 清 除 日 志 ， 以 及 达到 最 大 值 后 ， 设 置 
日 志保 留 策略 。 
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Wingowsserver 2008 民工 二 于 
和 按 需要 改写 事件 : 日 志文 件 已 满 时 继续 存储 新 事件 。 每 个 新 传 入 事件 蔡 换 日 志 中 最 旧 的 事件 。 
于 ”日志 满 时 将 其 存档 ， 不 改写 事件 : 必要 时 自动 将 日 志 存 档 。 不 改写 任何 事件 。 
里 不 改写 事件 (手动 清除 日 志 ]: 手动 而 非 自动 清除 日 志 。 


8-6 指定 日 志文 件 的 大 小 和 处 理 方式 


@ 单 击 “将 事件 另存 为 ”选项 ， 保 存 类 型 选择 “事件 属性 ”， 输 入 文件 名 称 “2008 年 10 月 21 日 
以 前 的 系统 日 志 ”， 单 击 “保存 ”按钮 。 

@@ 如 图 8-6 所 示 ， 单 击 “ 打 开 保存 的 日 志 ”， 浏 览 到 “2008 年 10 月 21 日 以 前 的 系统 日 志 ”， 单 
击 “ 打 开 ” 按 钮 。 

@ 如 图 8-7 所 示 ， 可 以 看 到 保存 的 日 志 。 


we 
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8-7 ”打开 保存 的 日 志 


8.1.5 配置 计算 机 以 转发 和 收集 事件 


Windows 远程 管理 (WinRM) 是 一 个 远程 管理 技术 ， 它 使 得 可 以 通过 HTTP 网 络 连接 发 送 WMI 命令 。 
通过 使 用 WinRM 进行 远程 服务 器 管理 ， 可 以 减少 DCOM 或 者 RPC 的 连接 ， 只 需要 使 用 HTTP 或 者 HTTPS 
就 可 以 了 , 这 对 于 跨越 防火 墙 管理 的 场景 非常 有 用 (否则 需要 打开 类 似 TCP 135 这 样 的 端口 ]。 决 定 Windows 
Server 2008 基于 WinRM 的 事件 订阅 和 WinRS(Windows Remote Shell) 来 保证 远程 服务 器 运行 正常 以 及 在 
出 现 问 题 时 在 第 一 时 间 进 行 修复 。 


[L278] 


示例 : 订阅 日 志 。 

必须 配置 收集 计算 机 (收集 器 ]) 和 每 台 将 从 其 收集 事件 的 计算 机 ( 源 ), 然后 才能 创建 订阅 来 收集 计算 机 上 
的 事件 。 

配置 DCServer 服务 器 订阅 FileServer 服务 器 和 Server Core 计算 机 ProfileServer 上 的 日 志 。 
以 域 管理 员 账 户 登录 到 FileServer， 在 命令 提示 符 下 输入 WinRM QuickConfig， 然 后 按 Enter 键 。 
在 “进行 这 些 更 改 吗 ” 提 示 符 下 ， 输 入 Y。 
以 域 管理 员 的 账户 登录 ProfileServer。 
如 图 8-8 所 示 ， 在 命令 提示 符 下 输入 WinRM QuickConfig， 然 后 按 Enter 键 。 
如 图 8-9 所 示 ， 在 “进行 这 些 更 改 吗 ” 提 示 符 下 ， 输 入 Y。 
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图 8-8 启用 远程 管理 功能 图 8-9 确认 


@ 以 域 管理 员 的 账户 登录 DCServer。 

@ 选择 “开始 ”一 “运行 ”命令 ， 输 入 MMC， 单 击 “ 确 定 ” 按 钮 。 

图 在 打开 的 MMC 对话 杠 中， 选择 “文件 ”一 “添加 /删除 管理 单元 ”命令 ， 如 图 8-10 所 示 。 

@ 如 图 8-11 所 示 ， 在 “添加 /删除 管理 单元 ”对 话 框 中 ， 选 择 “ 本 地 用 户 和 组 ”选项 ， 单 击 “ 添 加 ” 
按钮 ， 在 出 现 的 “选择 目标 机 器 ”对 话 框 中 , 选中 “ 另 一 台 计算 机 ” 单 选 按钮 , 输入 ProfileServer， 
单 击 “完成 ”按钮 。 


ET ET 


图 8-10 ”打开 微软 管理 控制 台 图 8-11 连接 Windows Server Core 
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再 次 单 击 “ 添 加 ”按钮 ， 选 择 “ 另 一 台 计算 机 ” 单 选 按钮 ， 输 入 fleServer， 单 击 “完成 ”按钮 。 
四 单 击 ProfileServer 计算 机 的 本 地 用 户 和 组 ,双击 Eventlog readers 组 ,在 出 现 的 Event Log readers 
四 
四 


属性 对 话 框 中 ， 单 击 “ 添 加 ”按钮 。 

在 “选择 用 户 、 计 算 机 或 组 ”对 话 框 中 ， 单 击 “ 对 象 类 型 ”按钮 ， 如 图 8-12 所 示 。 
如 图 8-13 所 示 ， 在 出 现 的 “对 象 类 型 ”对 话 框 中 ， 选 中 “计算 机 ” 复 选 框 ， 单 击 “确定 ”按钮 。 
| 
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图 8-12 更 改 对 象 类 型 图 8-13 ”选中 计算 机 


贸 ” 如 图 8-14 所 示 ， 输 入 DCSERVER， 单 击 “ 确 定 ”按钮 。 

加 ”以 同样 的 方式 ,将 计算 机 账户 DCSERVER 添加 到 FileServer 的 Event log readers 组 。 这 样 DCServer 
计算 机 就 能 够 订阅 FileServer 和 ProfileServer 的 日 志 。 

@ ”以 管理 员 的 账户 登录 DCSERVER。 打 开 “ 事 件 查看 器 ”。 

四 ”如 图 8-15 所 示 ， 单 击 “ 订 阅 ”选项 ， 单 击 “ 创 建 订阅 ”选项 ， 输 入 订阅 名 称 “ 查 询 FileServer 和 
ProfileServer 上 的 系统 错误 事件 ”， 目 标 日 志 选 择 “ 转 发 的 事件 ”。 


8-14 输入 DCSERVER 8-15 订阅 其 他 计算 机 上 的 日 志 
罗 如 图 8-16 所 示 ,， 单 击 “ 选 择 计算 机 ”按钮 ， 在 出 现 的 “计算 机 ”对 话 框 中 ， 单 击 “ 添 加 域 计 算 机 ” 
按钮 ， 输 入 ProfileServer 和 FileServer 计算 机 ， 单 击 “ 确 定 ” 按 钮 。 
四 ”如 图 8-17 所 示 ， 单 击 “ 选 择 事件 ”按钮 ， 记 录 时 间 为 “最 后 7 天 ”, 事件 级 别 选中 “错误 ”和 “ 警 
告 ”， 事 件 日 志 选 择 “系统 ”。 单 击 “ 确 定 ” 按 钮 。 
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图 8-16 选择 计算 机 图 8-17 选择 订阅 的 日 志 


四 如 图 8-18 所 示 ， 展 开 “Windows 日 志 ” 一 “转发 的 事件 ”节点 。 此 时 ， 可 以 看 到 订阅 的 
ProfileServer 和 FileServer 计算 机 上 的 系统 日 志 。 


图 8-18 查看 订阅 的 其 他 服务 器 的 日 志 


8.2 利用 任务 管理 器 监控 系统 资源 


任务 管理 器 显示 计算 机 上 当前 正在 运行 的 程序 、 进 程 和 服务 。 可 以 使 用 任务 管理 器 监视 计算 机 的 性 能 
或 者 关闭 没有 响应 的 程序 。 


如 果 你 与 网 络 连接 ， 还 可 以 使 用 任务 管理 器 查看 网 络 状态 以 及 你 的 网 络 是 如 何 工作 的 。 如 果 有 多 个 用 
户 连接 到 你 的 计算 机 ， 你 可 以 看 到 他 们 是 谁 、 在 做 什么 ， 还 可 以 给 他 们 发 送 消息 。 


8.2.1 实时 检测 内 存 和 CPU 的 使 用 情况 
@ 可 以 通过 右 击 任务 栏 上 的 空白 区 域 打开 任务 管理 器 ， 然 后 选择 “任务 管理 器 ”命令 ， 或 者 通过 按 
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@ Windows Server 2008 二 二 人。 


Ctrl+Shift+Esc 组 合 键 来 打开 任务 管理 器 ， 如 图 8-19 所 示 。 

@ 切换 到 任务 管理 器 的 “性 能 ”选项 卡 ， 可 以 看 到 CPU 和 内 存 的 使 用 情况 。 

图 选择 “查看 ”一 “显示 内 核 时 间 ” 命 令 。 在 图 标 中 ， 处 于 内 核 模式 的 处 理 器 时 间 用 红色 显示 ， 它 
就 是 应 用 程序 正在 使 用 操作 系统 服务 的 时 间 量 。 其 余 的 时 间 用 绿色 显示 ， 并 被 称 为 “用 户 模式 ”。 
它 就 是 在 应 用 程序 的 代码 内 用 于 运行 线程 的 时 间 量 。 


@ 单 击 “ 资 源 监视 器 ”按钮 打开 如 图 8-20 所 示 的 对 话 框 ， 可 以 看 到 CPU、 硬 盘 、 网 络 和 内 存 的 使 
用 情况 。 可 以 看 到 那个 进程 正在 读 写 磁盘 。 


[ET 


图 8-19 ”实时 查看 内 存 和 CPU 的 使 用 情况 8-20 ”资源 监视 器 


8.2.2 ”退出 没有 响应 的 程序 


如 果 计算 机 中 的 程序 停止 响应 , 则 Windows 将 尝试 查找 问题 并 了 = 
自动 解决 该 问题 。 如果 你 不 想 等 待 ， 则 可 以 使 用 任务 管理 器 自己 结束 i 秆 让 
该 程序 。 

使 用 任务 管理 器 结束 程序 可 能 比 等 待 更 快 , 但 是 将 丢失 所 有 未 保 
存 的 更 改 。 如 果 你 想 保留 重要 的 工作 ， 则 等 待 几 分 钟 ， 首 先 让 
Windows 尝试 解决 该 问题 。 
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如 图 8-21 所 示 ， 打 开 任 务 管理 器 。 切 换 到 “应 用 程序 ”选项 卡 ， [ET 
单 击 未 响应 的 程序 ， 然 后 单 击 “ 结 束 任务 ”按钮 。 一 


图 8-21 结束 不 响应 的 程序 
8.2.3 识别 与 程序 关联 的 进程 


可 以 查看 应 用 程序 的 进程 ， 如 图 8-22 所 示 ， 右 击 选中 的 应 用 程序 ， 在 弹出 的 快捷 菜单 中 选择 “ 转 到 进 
程 ”命令 。 
如 图 8-23 所 示 ， 可 以 看 到 该 应 用 程序 对 应 的 进程 。 也 可 以 通过 结束 进程 来 结束 应 用 程序 。 
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图 8-22 ” 转 到 程序 的 进程 图 8-23 ”查看 程序 的 进程 


8.2.4 添加 监控 的 列 


在 任务 管理 器 的 “进程 ”选项 卡 中 ， 可 以 添加 你 关心 的 其 他 性 能 指标 。 
在 “Windows 任务 管理 器 ”的 “查看 ”菜单 中 有 一 个 “选择 列 ” 命 令 ， 列 出 了 可 选 的 一 些 反映 进程 运 
行情 况 的 参数 。 下 面 列 出 常用 的 进程 量度 数据 。 

”PID 进程 标识 符号 : 每 个 进程 都 有 一 个 数字 号 ; 这 个 号 码 与 它 所 指定 的 进程 是 完全 等 价 的 ， 就 像 
身份 证 号 码 同 我 们 自己 的 关系 一 样 。 

里 CPU 使 用 和 时 间 : CPU 时 间 是 表明 一 个 进程 自 启动 以 来 所 占用 CPU 时 间 的 总 和 ; CPU 使 用 是 指 一 
个 进程 占用 CPU 的 百分比 。 

”内 存 使 用 增 量 ， 是 指 进程 使 用 内 存 的 变化 。 正 值 表示 增加 ， 负 值 表示 减少 。 

于 ”内存 使 用 高 峰 期 : 是 指 一 个 进程 自 启动 以 来 使 用 的 最 大 内 存 值 。 

于 ”页 面 错误 : 当 软 件 试图 读 写 标 有 不 存在 的 虚拟 内 存 地 址 时 ， 中 断 发 生 了 。 页 面 错误 记录 了 一 个 进 
程 必须 从 硬盘 上 恢复 的 次 数 。 

”虚拟 内 存 大 小 : 是 给 一 个 进程 安排 的 虚拟 内 存 的 大 小 或 地 址 空间 。 

”内存 一 一 页 面 缓冲 池 : 系统 分 配给 一 个 进程 的 虚拟 内 存 ， 它 是 可 以 分 页 的 。 分 页 是 指 把 进程 的 不 
常 使 用 的 工作 内 存 从 RAM 移 至 硬盘 。 

”基本 优先 级 是 一 个 处 理 排名 ， 它 确定 了 一 个 进程 中 的 线程 被 处 理 的 顺序 。 

”1/0 读 取 和 1/0 读 取 字 节 : 1/0 读 取 是 指 一 个 进程 产生 的 读 输 入 /输出 操作 的 个 数 ， 包 括 文件 个 数 、 
网 络 个 数 和 输入 /输出 设备 个 数 。 而 1/0 读 取 字 节 是 指 相应 的 字 节 数 。 

”1/0 写 入 和 1/0 写 入 字 节 : 1/0 写 入 是 指 一 个 进程 产生 的 写 输入 /输出 操作 的 个 数 ， 包 括 文件 个 数 、 
网 络 个 数 和 输入 /输出 设备 个 数 。 而 1/0 写 入 字 节 是 指 相应 的 字 节 数 。 

和 ”1/0 其 他 和 1/0 其 他 字 节 : 1/0 其 他 是 指 一 个 进程 产生 的 非 读 非 写 输入 /输出 操作 的 个 数 ， 包 括 文 
件 个 数 、 网 络 个 数 和 输入 /输出 设备 个 数 。 而 1/0 其 他 字 节 是 指 相应 的 字 节 数 。 

在 “进程 ”选项 卡 中 ， 如 图 8-24 所 示 ， 选 择 “ 查 看 ”一 “选择 列 ” 命 令 。 

如 图 8-25 所 示 ， 选 中 “CPU 时 间 ”、“1/0 读 取 ”和 “1/0 写 入 ” 复 选 框 ， 单 击 “确定 ” 按 钮 。 

如 图 8-28 所 示 ， 可 以 看 到 各 个 进程 使 用 CPU 的 累计 时 间 。 
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CD 一 


图 8-24 选择 列 图 8-25 选择 显示 的 列 


8-26 ”查看 添加 的 列 


8.2.5 排序 进程 


打开 Windows 任务 管理 器 ， 如 图 8-27 所 示 ， 切 换 到 “进程 ”选项 卡 ， 单 击 “ 内 存 ” 列 ， 可 以 按 内 存 
的 使 用 排序 进程 ， 能 够 看 到 哪些 进程 使 用 内 存 较 多 。 

如 图 8-28 所 示 ， 单 击 CPU， 可 以 按 CPU 的 使 用 情况 排序 进程 。 通 过 排序 ， 可 以 识别 程序 对 资源 的 使 
用 情况 。 如 果 你 识别 出 来 某 些 应 用 程序 占用 了 大 量 的 处 理 器 时 间 ， 可 以 将 其 中 的 某 些 应 用 程序 移动 到 另外 
一 个 计算 机 上 ， 用 于 适当 分 配 工作 负荷 。 
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8-27” 按 内 存 的 使 用 大 小 排序 图 8-28 按 CPU 使 用 排序 
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8.3 利用 “性 能 监视 器 ”检测 系统 性 能 
Windows 可 靠 性 和 性 能 监视 器 使 用 可 合并 进 数据 收集 器 的 性 能 计数 器 、 事 件 来 跟踪 数据 和 配置 信息 。 


8.3.1 使 用 性 能 监视 器 实时 监控 


“性 能 计数 器 ”是 系统 状态 或 活动 情况 的 量度 单位 。 它 们 可 以 包含 在 操作 系统 中 或 作为 个 别 应 用 程序 
的 一 部 分 。Windows 可 靠 性 和 性 能 监视 器 以 指定 的 时 间 间 隔 请 求 性 能 计数 器 的 当前 值 。 

示例 : 监控 磁盘 读 写 情况 。 

@ 选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 “可 靠 性 和 性 能 监视 器 ”命令 ， 打 开 性 能 监视 器 ， 如 
图 8-29 所 示 。 

@ 单 击 曙 按钮 , 添加 计数 器 , 打开 “添加 计数 器 ”对 话 框 , 单 击 PhysicalDisk 下 的 Disk Transfers/sec 
和 Current Disk Queue Length 。 

里 Disk Transfers/sec: 指 在 此 盘 上 读 取 / 写 入 操作 速率 。 

到 Current Disk Queue Length: 是 在 收集 性 能 数据 时 磁盘 上 当前 的 请 求 数量 。 它 还 包括 在 收集 时 处 于 
服务 的 请 求 。 这 是 瞬间 的 快照 ， 不 是 时 间 间 隔 的 平均 值 。 多 轴 磁 盘 设 备 能 有 一 次 处 于 运行 状态 的 
多 重 请 求 ， 但 是 其 他 同期 请 求 正在 等 待 服务 。 此 计数 器 会 反映 暂时 的 高 或 低 的 队列 长 度 ， 但 是 如 
果 磁 盘 驱 动 器 被 迫 持续 运行 ， 它 有 可 能 一 直 处 于 高 的 状态 。 请 求 的 延迟 与 此 队列 的 长 度 减 去 磁盘 
的 轴 数 成 正比 。 为 了 提高 性 能 ， 此 处 应 该 平均 小 于 2。 

@ ”如 图 8-30 所 示 ， 单 击 “ 显 示 描述 ”按钮 ， 可 以 看 到 计数 器 的 作用 。 


EN 
和 Hh 区 
TEST 
[EH :PYAR EL | 
| Ee MW ) CR 己 本 可 
NT 
8-29 打开 性 能 监视 器 图 8-30 显示 计数 器 描述 


@@ “此 时 ， 可 以 实时 观察 每 个 计数 器 的 值 ， 单 击 按钮 图 ， 可 以 选择 直方 图 条 或 报告 的 形式 观察 计数 器 
的 值 ， 如 图 8-31 所 示 。 
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图 8-31 改变 显示 方式 


8.3.2 监控 远程 计算 机 的 性 能 


你 可 以 远程 监控 计算 机 的 性 能 ， 只 要 你 有 访问 远程 计算 机 管理 员 权限 。 

在 域 环 境 中 域 管理 员 默认 是 所 有 域 中 成 员 计算 机 的 管理 员 组 的 成 员 ， 因 此 以 域 管理 员 账 户 登录 ， 能 够 
远程 监控 域 中 计算 机 的 性 能 。 

要 想 远 程 监控 工作 组 中 的 远程 计算 机 ， 需 要 访问 远程 计算 机 的 共享 文件 ， 输 入 远程 计算 机 的 管理 员 账 
号 和 密码 ， 这 样 你 的 计算 机 就 缓存 了 访问 远程 计算 机 的 和 凭据。 或 依次 单 击 (或 选择 )“ 控 制 面板 ”一 “用 户 
账户 ”一 “管理 网 络 密码 ”， 在 打开 的 对 话 框 中 添加 访问 远程 计算 机 的 凭据 。 

如 图 8-32 所 示 ， 在 “添加 计数 器 ”对 话 框 中 ， 计 算 机 可 以 输入 远程 计算 机 的 IP 地 址 ， 或 计算 机 名 。 


8-32 ”监视 其 他 服务 器 性 能 


(@) 注意 : 计算 机 名 称 或 卫 地 址 前 要 添加 \. 


8.3.3 ”使 用 系统 内 置 的 数据 收集 器 
“事件 跟踪 数据 ”是 从 跟踪 提供 程序 收集 到 的 ， 这 些 跟踪 提供 程序 是 操作 系统 或 者 用 于 报告 操作 或 事 


件 的 个 别 应 用 程序 的 组 件 。 多 个 跟踪 提供 程序 的 输出 可 合并 进 一 个 trace session， 例 如 资源 视图 用 于 显示 
实时 CPU、 内 存 、 磁 盘 和 网 络 活动 的 “Windows 内 核 跟踪 ”。 
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跟踪 完毕 后 ， 系 统 给 出 诊断 报告 ， 告 诉 你 服务 器 的 瓶颈 是 内 存 还 是 CPU、 硬 盘 或 网 络 。 

示例 : 启用 系统 内 置 跟踪 。 

@ 选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 “可 靠 性 和 性 能 监视 器 ”命令 。 

@@ ”打开 如 图 8-33 所 示 对 话 框 , 展开“ 数据 收集 器 集 ” 一 “系统 ”节点 , 右 击 “System Performance( 系 
统 性 能 )”， 在 弹出 的 快捷 菜单 中 选择 “开始 ”命令 。 

@ ”如 图 8-34 所 示 ， 展开 “报告 ”一 System Performance 节点 ， 单 击 最 新 的 报告 。 可 以 看 到 CPU、 内 
存 、 网 络 和 磁盘 的 性 能 计数 器 的 值 。 


EE ELITE 


| 


S 
el 


E158 
各 六 0 上 六 0 为 有 和 小 于 100 法 忆 ， 
IT 


下 


图 8-33 ”跟踪 系统 性 能 图 8-34 查看 诊断 报告 
@@ 如 图 8-35 所 示 ， 单 击 国 图 标 ， 可 以 看 到 针对 CPU、 内 存 、 网 络 和 磁盘 的 多 种 统计 信息 。 


np me em eam eo om 
PT 


图 8-35 ”查看 统计 信息 


8.3.4 创建 用 户 定义 性 能 跟踪 


可 以 创建 自 定义 的 数据 收集 器 来 跟踪 所 关注 的 性 能 指标 。 

示例 ， 跟 踪 网 络 流量 。 

Q@@ ”如 图 8-36 所 示 ， 右 击 “ 数 据 收集 器 集 ” 下 的 “用 户 定义 ”选项 ， 在 弹出 的 快捷 菜单 中 ， 选 择 “ 新 
建 ” 一 “数据 收集 器 集 ” 命 令 。 

@ 如 图 8-37 所 示 ， 在 出 现 的 “创建 新 的 数据 收集 器 集 ” 对 话 框 中 ， 输 入 名 称 “ 网 络 流量 跟踪 ”， 选 
中 “手动 创建 (高 级 )” 单 选 按钮 ， 单 击 “ 下 一 步 ” 按 钮 。 
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图 8-36 ”新建 数据 收集 器 集 图 8-37 输入 名 称 
@ 如 图 8-38 所 示 , 在 出 现 的 “您 希望 包括 何 种 类 型 的 数据 ?” 界 面 中 ,选中 “性 能 计数 器 ” 复 选 框 ， 
单 击 “ 下 一 步 ”按钮 。 


@ 如 图 8-39 所 示 ， 在 “您 希望 记录 哪个 性 能 计数 器 ? ”界面 中 ， 单 击 “ 添 加 ”按钮 。 


8-38 ”选中 性 能 计数 器 8-39 ”添加 性 能 计数 器 
回 如 图 8-40 所 示 , 在 出 现 的 “可 用 计数 器 ”对 话 框 中 , 选中 Network Interface 下 的 Bytes Sent/sec、 


Bytes Received/sec 和 Bytes Total/sec， 单 击 “ 确 定 ” 按 钮 。 
@ 如 图 8-41 所 示 ， 更 改 “ 示 例 间隔 ”为 3 秒 ， 单 击 “ 下 一 步 ”按钮 。 


图 8-40 选择 计数 器 实例 图 8-41 选择 计数 器 
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@ ”如 图 8-42 所 示 ， 在 数据 保存 位 置 对 话 框 中 ， 保 留 默认 位 置 ， 单 击 “ 下 一 步 ”按钮 。 
如 图 8-43 所 示 ， 选 中 “立即 启动 该 数据 收集 器 集 ” 单 选 按钮 ， 单 击 “完成 ”按钮 。 


图 8-42 指定 保存 位 置 图 8-43 立即 启动 
如 图 8-44 所 示 ， 依 次 展开 “报告 ” 一 “用 户 定义 ”一 “网 络 流量 跟踪 ”节点 ， 可 以 看 到 报告 状态 ， 
正在 收集 数据 。 


@@ 如 图 8-45 所 示 ， 选 中 刚才 创建 的 “网 络 流量 跟踪 ”， 右 击 转 图 标 ， 停 止 跟踪。 


人 am i i RAR 
+ Xe 
ee 


图 8-44 查看 报告 图 8-45 ”停止 跟踪 


@@ 如 图 8-46 所 示 , 依次 展开 “报告 ”一 “用 户 定义 ”一 “网 络 流量 跟踪 ”节点 , 单 击 编号 为 000003， 
单 击 昌 。 

四 如 图 8-47 所 示 ， 在 “添加 计数 器 ”对 话 框 中 ， 单 击 @， 显 示 所 有 计数 器 ， 单 击 “ 添 加 ”按钮 ， 然 
后 单 击 “确定 ”按钮 。 


@ 2m Mr en eae go sm 
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图 8-46 ”添加 跟踪 的 计数 器 图 8-47 添加 计数 器 
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8.3.5 ”指定 数据 收集 计划 


可 以 指定 数据 收集 计划 和 停止 条 件 。 
如 图 8-49 所 示 ， 右 击 “ 网 络 流量 跟踪 ”， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 。 在 弹出 的 对 话 框 的 
“计划 ”选项 卡 中 ， 单 击 “ 添 加 ”按钮 ， 可 以 指定 开始 日 期 和 截止 日 期 ， 以 及 时 间 安排 。 
”可 以 使 用 单个 停止 条 件 或 组 合 使 用 多 个 条 件 来 自动 暂停 或 重新 开始 收集 数据 收集 器 集中 的 数据 。 
”选中 复 选 框 以 选择 一 个 或 所 有 要 应 用 于 数据 收集 器 集 的 停止 条 件 。 如 果 在 此 选项 卡 中 未 选 定 停止 
条 件 ， 数 据 收集 器 集 将 从 启动 (手动 或 自动 ) 时 间 开 始 收集 数据 ， 直 到 手动 停止 。 
“总 持续 时 间 ” 会 使 数据 收集 器 集 在 超过 配置 时 间 之 后 停止 收集 数据 。 总 持续 时 间 设 置 优先 于 定 
义 为 限制 的 任何 设置 。 
里““ 限 制 ” 可 用 于 代 蔡 总 持续 时 间 停 止 条 件 ， 或 与 其 一 起 使 用 。 
如 图 8-50 所 示 , 若 要 在 达到 持续 时 间 、 大 小 的 限制 或 同时 达到 这 两 种 限制 时 自动 重新 开始 数据 收集 器 
集 的 收集 操作 ， 请 选中 复 选 框 。 当 与 总 持续 时 间 停止 条 件 组 合 使 用 时 ， 配 置 自动 重新 开始 会 使 每 个 指定 时 
间 段 或 大 小 的 数据 收集 到 单独 的 日 志文 件 中 ， 直 到 满足 总 持续 时 间 停止 条 件 。 


1 -用 ee 
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图 8-49 指定 数据 收集 计划 图 8-50 设置 停止 条 件 
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8.3.6 可靠 性 监视 器 


可 靠 性 监视 器 可 以 计算 系统 稳定 性 指数 ， 该 指数 反映 意外 问题 是 否 降低 了 系统 的 可 靠 性 。 稳 定性 指数 
的 时 间 图 会 快速 标识 问题 开始 发 生 的 日 期 。 提 供 的 系统 稳定 性 报告 提供 了 详细 信息 ， 以 帮助 解决 可 靠 性 降 
低 的 问题 。 通 过 逐个 查看 对 故障 系统 (应 用 程序 故障 、 操 作 系统 崩溃 或 硬件 故障 ] 的 更 改 ( 安 装 或 删除 应 用 程 
序 ， 更 新 操作 系统 ， 或 者 添加 或 修改 驱动 程序 )， 可 以 形成 一 个 解决 问题 的 策略 。 

如 图 8-51 所 示 ， 在 该 界面 中 ， 各 项 的 含义 如 下 。 
红色 又 号 所 在 的 位 置 表示 Windows Server 2008 系统 在 那 一 刻 有 错误 操作 存在 。 
黄色 感叹 号 所 在 的 位 置 表示 Windows Server 2008 系统 在 那 一 刻 有 安全 隐患 操作 存在 。 
绿色 字母 i 符号 所 在 的 位 置 表示 Windows Server 2008 系统 在 那 一 刻 有 操作 成 功 的 提示 信息 存在 。 
图 表 上 面 的 黑色 小 方块 表示 Windows Server 2008 系统 每 一 天 的 事件 采集 点 。 每 一 个 事件 采集 点 
包含 的 信息 主要 有 五 个 方面 ， 分 别 如 下 。 
。 Windows 故障 信息 。 
。 ”硬件 故障 信息 。 
。 ”应 用 程序 故障 信息 。 
。 软件 安装 邵 载 信息 。 
。 其 他 故障 信息 。 


8-51 可靠 性 监视 


Windows Server 2008 系统 会 自动 对 每 一 个 事件 采集 点 收集 来 的 五 方面 信息 进行 综合 评估 ， 并 对 系统 
的 运行 稳定 性 进行 量化 评分 ， 其 中 最 稳定 的 系统 状态 ， 其 可 靠 性 的 评估 分 为 10 分 。 从 图 8-51 所 示 的 界面 
中 不 难看 出 随 着 系统 运行 时 间 的 推移 ， 系 统 运行 的 可 靠 性 也 逐步 下 降 。 


提示 : 就 笔者 自己 的 计算 机 系统 来 看 ，2008 年 9 月 6 日 之 前 的 系统 可 靠 性 是 最 好 的 ， 不 过 从 9 月 6 日 开 
始 ， 系 统 运行 可 靠 性 开始 下 降 ， 很 明显 ， 笔 者 自己 的 计算 机 系统 最 理想 的 系统 还 原点 应 该 处 于 9 月 6 日 
之 前 ， 也 就 是 说 当 笔者 的 系统 遇 到 意外 需要 还 原 时 ， 我 们 必须 将 系统 还 原点 设 定 在 9 月 6 日 之 前 的 某 个 
时 刻 ， 这 样 一 来 系统 的 工作 状态 才能 被 恢复 到 最 稳定 、 最 健康 的 状态 。 
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8.4 Windows 系统 资源 管理 器 


通过 用 于 Windows Server 2008 操作 系统 的 Windows 系统 资源 管理 器 ， 可 以 使 用 标准 资源 策略 或 自 
定义 资源 策略 来 管理 服务 器 的 处 理 器 和 内 存 的 使 用 情况 。 通 过 管理 资源 ， 可 以 帮助 确保 均等 地 使 用 一 台 服 
务 器 提供 的 所 有 服务 ， 或 确保 高 优先 级 的 应 用 程序 、 服 务 或 用 户 始终 可 以 使 用 你 的 资源 。 

仅 当 组 合 的 处 理 器 负荷 大 于 70% 时 , Windows 系统 资源 管理 器 才 会 管理 处 理 器 资源 。 这 意味 着 在 处 
理 器 负荷 较 小 时 ， 不 会 主动 限制 每 个 使 用 者 可 以 占用 的 资源 。 如 果 发 生 处 理 器 资源 的 争 用 ， 资 源 分 配 策略 
可 以 根据 你 定义 的 管理 配置 文件 ， 帮 助 实现 最 低 的 资源 可 用 性 。 


8.4.1 Windows 系统 资源 管理 器 的 功能 


可 以 使 用 Windows 系统 资源 管理 器 执行 下 列 操作 。 

”使 用 预 配置 的 策略 管理 系统 资源 (处 理 器 和 内 存 )， 或 创建 自 定义 策略 ， 按 进程 、 按 用 户 或 按 
Internet 信息 服务 (IIS) 应 用 程序 池 分 配 资源 。 

和 使 用 日 历 规则 在 不 同时 间 应 用 不 同 的 策略 ， 而 不 必 人 工 干 预 或 重新 配置 。 

和 自动 选择 基于 服务 器 属性 和 事件 (例如 群集 事件 或 条 件 ) 的 资源 策略 ， 或 基于 已 安装 物理 内 存 大 小 
或 处 理 器 个 数 的 更 改 的 资源 策略 。 

”在 本 地 或 自 定 义 SQL 数据 库 中 收集 资源 使 用 情况 的 数据 。 可 以 将 多 台 服 务 器 中 的 资源 使 用 情况 
数据 合并 到 一 台 运行 Windows 系统 资源 管理 器 的 计算 机 上 。 


资源 管理 的 作用 

由 于 Windows Server 2008 设计 为 向 非 操作 系统 任务 提供 尽 可 能 多 的 资源 ， 所 以 , 运行 单个 角色 的 服 
务 器 通常 不 要 求 进行 资源 管理 。 但 是 ， 如 果 一 台 服务 器 上 安装 了 多 个 应 用 程序 和 服务 ， 这 些 应 用 程序 和 服 
务 并 不 会 察觉 到 进程 的 争 用 。 不 受 管理 的 应 用 程序 或 服务 通常 将 使 用 所 有 可 用 资源 来 完成 任务 。 因 此 ， 使 
日 Windows 系统 资源 管理 器 等 工具 来 管理 多 用 途 服务 器 上 的 系统 资源 是 非常 重要 的 。 使 用 Windows 系 
统 资源 管理 器 主要 有 两 个 好 处 。 

和 由 于 通过 动态 管理 的 资源 可 以 提高 服务 的 可 用 性 ， 所 以 ， 可 以 在 一 台 服 务 器 上 运行 更 多 的 服务 。 

”即使 处 于 最 大 资源 负荷 期 间 ， 高 优先 级 的 用 户 或 系统 管理 员 仍 可 以 访问 系统 。 


8.4.2 ”Windows 系统 资源 管理 器 中 的 内 存 管理 


可 以 在 Windows 系统 资源 管理 器 中 创建 资源 分 配 , 用 于 限制 进程 使 用 的 工作 集 内 存量 或 提交 内 存量 。 

内 存 限 制 按 进程 应 用 。 例 如 ， 如 果 创 建 一 个 资源 分 配 策略 ， 将 工作 集 限制 指定 为 10 MB， 并 将 其 应 用 
于 与 6 个 正在 运行 的 进程 匹配 的 进程 匹配 条 件 ，10 MB 的 限制 将 分 别 应 用 于 全 部 6 个 进程 。 

1. 工作 集 内 存 限制 


可 以 为 匹配 进程 的 工作 集 设置 上 限 。Windows 系统 资源 管理 器 禁止 匹配 进程 的 工作 集 超过 在 资源 分 配 
中 定义 的 限制 。 如 果 达 到 限制 ， 后 续 的 内 存 分 配 不 会 失败 ， 但 是 将 蔡 换 工作 集中 的 现 有 页 面 。 这 样 可 以 避 
免 后 续 的 应 用 程序 错误 。 
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2. 提交 内 存 的 限制 


可 以 为 进程 使 用 的 提交 内 存 设 置 上 限 。 通 常 ， 如 果 进 程 使 用 的 提交 内 存 持续 增 大 ， 则 是 由 于 进程 中 的 
内 存 泄漏 所 致 。 在 为 进程 使 用 的 提交 内 存量 设置 限制 时 ， 如 果 发 生 内 存 泄 漏 ， 可 以 人 工 干预 。 达 到 限制 后 ， 
Windows 系统 资源 管理 器 可 以 将 事件 记 入 事件 日 志 ， 终 止 进程 ， 或 重新 启动 进程 。 

Windows 系统 资源 管理 器 服务 维护 提交 内 存 的 限制 。 该 服务 监视 匹配 进程 对 提交 内 存 的 利用 率 。 只 要 
进程 对 提交 内 存 的 利用 率 超过 该 服务 的 限制 ， 该 服务 还 会 强制 执行 用 户 定义 的 操作 。 


3. 其 他 考虑 事项 

不 要 使 用 Windows 系统 资源 管理 器 中 的 内 存 限 制 来 动态 管理 或 修改 自己 的 内 存 限制 的 应 用 程序 或 进 
程 ， 这 样 可 能 会 影响 Windows 系统 资源 管理 器 以 及 所 管理 的 应 用 程序 的 正常 运行 。 

最 佳 做 法 是 ， 使 用 CPU 目标 来 管理 资源 。 有 选择 地 将 内 存 限 制 应 用 于 出 现 内 存 耗 尽 问题 的 应 用 程序 。 


如 果 过 度 地 限制 应 用 程序 可 以 使 用 的 内 存 ， 可 能 会 延长 应 用 程序 完成 任务 的 时 间 ， 并 且 可 能 会 提高 磁盘 利 
用 率 。 


8.4.3 安装 Windows 系统 资源 管理 器 


若 要 使 用 Windows 系统 资源 管理 器 管理 资源 ， 必 须 安 装 Windows 系统 资源 管理 器 功能 ， 并 且 必 须 
正在 运行 Windows 系统 资源 管理 器 服务 。 


| 提示 : 安装 Windows 系统 资源 管理 器 功能 ， 必 须 是 本 地 Administrators 组 中 的 成 员 身份 或 等 效 身份 。 


安装 Windows 系统 资源 管理 器 功能 操作 如 下 。 

中 选择 “开始 ”一 “管理 工具 ”命令 ， 然 后 选择 “服务 器 管理 器 ”命令 。 此 时 将 启动 Microsoft 管 
理 控制 台 。 

@ 在 控制 台 窗 格 中 ， 向 下 滚动 到 “功能 摘要 ”选项 。 

图 单 击 “ 添 加 功能 ”按钮 。 此 时 将 启动 添加 功能 向 导 。 

@ 如 图 8-52 所 示 ， 在 功能 列表 中 ， 选 中 “Windows 系统 资源 管理 器 ” 复 选 框 ， 然 后 单 击 “ 下 一 步 ” 
按钮 。 
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图 8-52 ”安装 资源 管理 器 
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回 ”按照 向 导 中 的 步骤 完成 Windows 系统 资源 管理 器 的 安装 。 


8.4.4 Windows 系统 资源 管理 器 中 的 处 理 器 管理 


Windows 系统 资源 管理 器 通过 调整 进程 优先 级 来 管理 处 理 器 资源 。 这样, 可 以 保证 进程 匹配 条 件 定义 
的 进程 组 可 以 获得 最 低 可 用 CPU 带宽 百分比 。 除 非 总 CPU 利用 率 大 于 70%， 和 否则 ， 不 会 强制 进行 资源 
管理 。 

还 可 以 使 用 Windows 系统 资源 管理 器 来 定义 处 理 器 关联 。 这 意味 着 匹配 的 进程 可 以 与 多 处 理 器 计算 
机 上 的 一 个 处 理 器 或 一 组 处 理 器 关联 。 


注意 : 永远 不 要 管理 核心 操作 系统 进程 ， 包 括 Windows 系统 资源 管理 器 服务 。 此外， 可 以 手动 将 进程 添 
加 到 用 户 定义 的 排除 列表 中 ， 以 便 不 进行 管理 。 排 除 的 进程 或 非 受 管理 进程 组 成 员 的 进程 必须 共享 在 分 
配 之 后 剩余 的 资源 。 


1. 处 理 器 管理 方法 
Windows 系统 资源 管理 器 可 以 通过 CPU 百分比 目标 或 处 理 器 关联 规则 来 管理 处 理 器 资源 。 


注意 : 如 果 应 用 程序 具有 管理 CPU 使 用 情况 或 处 理 器 关联 的 功能 ， 应 使 用 其 自 带 的 资源 管理 功能 并 将 
其 添加 到 用 户 定义 的 排除 列表 中 。 


2. CPU 百分比 目标 


分 配 处 理 器 资源 最 简单 的 方法 是 为 进程 匹配 条 件 定义 的 每 个 进程 组 分 配 一 个 CPU 百分比 目标 。 此 目 
标 是 向 进程 组 保证 的 最 低 可 用 CPU 带宽 百分比 。 


(@) 注意 : 可 以 分 配 的 资源 是 核心 操作 系统 进程 或 手动 排除 的 进程 未 使 用 的 资源 。 


由 于 Windows 系统 资源 管理 器 保证 最 低 可 用 CPU 带宽 ， 而 不 是 限制 CPU 带宽 的 利用 率 ， 所以, 受 
管理 的 进程 组 使 用 的 实际 CPU 可 能 会 超过 最 低 分 配 。 同 样 ， 未 使 用 其 最 低 分 配 的 受 管理 进程 组 的 多 余 容 
量 将 重新 分 配给 需要 更 多 资源 的 进程 组 。 


3. 管理 规则 


在 使 用 CPU 约束 创建 资源 分 配 策略 时 ， 还 可 以 选择 要 应 用 的 管理 规则 。 这 些 管 理 规则 类 似 于 内 置 的 
资源 分 配 策略 ， 但 是 在 将 其 应 用 于 资源 分 配 策略 中 的 一 个 资源 分 配 时 ， 将 在 该 资源 分 配 的 所 有 匹配 进程 之 
间 分 配 已 分 配 的 CPU。 

管理 规则 包括 如 下 内 容 。 

”标准 (默认 值 ]。Windows 系统 资源 管理 器 不 会 尝试 控制 在 匹配 的 进程 之 间 分 配 已 分 配 的 CPU 的 

方式 。 选 择 此 管理 规则 时 ， 可 以 使 用 附加 的 进程 匹配 条 件 向 匹配 的 进程 二 次 分 配 资源 。 例 如 ， 一 
匹配 的 进程 可 能 会 使 用 所 有 已 分 配 的 CPU 带宽 。Windows 系统 资源 管理 器 不 会 管理 此 带宽 使 

用 ， 所 以 ， 可 能 会 影响 其 他 进程 。 

ms ”每 进程 相等 。 可 用 的 CPU 带宽 在 匹配 的 进程 之 间 平 均 分 配 。 选 择 此 管理 规则 时 ， 不 允许 进行 二 


= 


[2941 


次 分 配 。 例 如 ， 如 果 两 个 匹配 的 进程 使 用 已 分 配 的 CPU 带宽 的 100%，Windows 系统 资源 管理 
器 将 降低 CPU 利用 率 超过 50% 的 进程 的 优先 级 。 

于 “每 用 户 相等 。 每 个 用 户 运行 的 匹配 进程 组 共享 的 可 用 CPU 带宽 相等 。 选 择 此 管理 规则 时 ， 不 允 
许 进行 二 次 分 配 。 例 如 ， 如 果 两 个 用 户 正 在 运行 多 个 应 用 程序 ， 这 些 应 用 程序 使 用 已 分 配 的 CPU 
带宽 的 100%, Windows 系统 资源 管理 器 将 降低 CPU 利用 率 超 过 50% 的 用 户 所 运行 的 进程 的 
优先 级 。 

ma 每 会 话 相等 。 在 终端 服务 器 上 ， 每 个 终端 服务 会 话 中 运行 的 匹配 进程 共享 的 可 用 CPU 带宽 相等 。 
选择 此 管理 规则 时 ， 不 允许 进行 二 次 分 配 。 例 如 ， 如 果 连 接 到 终端 服务 器 的 两 个 用 户 使 用 已 分 配 
的 CPU 带宽 的 100%，Windows 系统 资源 管理 器 将 降低 CPU 利用 率 超过 50% 的 终端 服务 器 
会 话 中 运行 的 进程 的 优先 级 。 

至” 二 次 分 配 。CPU 百分比 目标 分 配 可 以 进一步 分 为 二 次 分 配 。 二 次 分 配 按 父 级 资源 分 配 所 分 配 的 资 
源 的 百分比 计算 所 分 配 的 资源 。 此 二 次 分 配 匹配 的 进程 匹配 条 件 与 父 级 资源 分 配 不 同 。 二 次 分 配 
优先 于 默认 的 资源 分 配 策略 。 

ms ”每 进程 相等 (默认 管理 规则 )。 在 一 个 进程 组 中 的 进程 之 间 管理 资源 的 默认 策略 是 内 置 策略 
Equal_Per_Process。 通 过 此 策略 可 以 实现 如 下 功能 。 

。 可 用 的 CPU 带宽 在 进程 匹配 条 件 所 确定 的 进程 之 间 平 均 分 配 。 

。 默认 情况 下 启用 超越 进程 保护 。 

。 如果 启 动 Windows 系统 资源 管理 器 而 不 进行 其 他 配置 ， 则 将 此 策略 应 用 于 受 管理 的 服务 器 
上 运行 的 所 有 可 管理 进程 。 

。 此 默认 策略 可 以 通过 编辑 Windows 系统 资源 管理 器 属性 进行 更 改 。 应 启用 “当前 资源 分 配 
策略 ”( 如 果 禁 用 了 日 历 ] 或 禁用 “日 历 默 认 策 略 ”( 如 果 启 用 了 日 历 )。 


4. 处 理 器 关联 


除了 指定 CPU 目标 百分比 之 外 ， 匹 配 的 进程 还 可 以 与 多 处 理 器 系统 上 的 特定 处 理 器 关联 。 此 方法 可 以 
在 少量 进程 匹配 条 件 之 间 分 配 服 务 器 的 资源 ， 但 是 ， 在 对 大 量 进 程 匹 配 条 件 使 用 处 理 器 关联 时 ， 应 谨慎 操 
作 。Windows 系统 资源 管理 器 在 计算 具有 关联 的 进程 的 可 用 资源 时 ， 将 只 考虑 一 个 处 理 器 的 状态 。 所 以 ， 
如 果 系 统 遇 到 较 高 负荷 ， 可 能 会 过 度 分 配 处 理 器 资源 。 

有 时 ， 可 用 的 CPU 带宽 可 能 会 低 于 预期 。 这 样 ， 将 减少 分 配给 匹配 进程 的 CPU 带宽 ， 可 能 会 使 这 些 进 
程 的 响应 速度 低 于 预期 。 如 果 符合 下 列 条 件 ， 则 可 能 会 发 生 这 种 情况 。 

”进程 组 关联 的 处 理 器 数 过 少 。 

”没有 关联 的 进程 使 用 另 一 个 进程 组 约束 到 的 处 理 器 。 

ma ”进程 匹配 条 件 无 法 检查 在 具有 关联 的 进程 之 间 是 否 存在 分 配 冲 突 。 


注意 : 对 于 SQL Server 多 实例 管理 ， 不 建议 通过 Windows 系统 资源 管理 器 管理 CPU 关联 ， 而 应 使 用 
SQL Server 的 处 理 器 关联 设置 。 


8.4.5 ”内置 的 资源 管理 策略 


可 以 通过 选择 要 使 用 的 策略 类 型 来 启用 内 置 的 资源 管理 策略 。 无 须 执行 其 他 配置 。 
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每 进程 相等 。 使 用 Equal_Per_Process 资源 分 配 策 略 管理 系统 时 ， 将 同等 对 待 每 个 正在 运行 的 进 
程 。 例如, 如 果 运 行 10 个 进程 的 服务 器 达到 70% 的 处 理 器 利用 率 , 当 这 些 进程 处 于 争 用 状态 时 ， 
Windows 系统 资源 管理 器 就 将 限制 每 个 进程 最 多 占用 处 理 器 资源 的 10%。 注 意 ， 低 利用 率 进程 
未 使 用 的 资源 将 分 配给 其 他 进程 。 

每 用 户 相等 。 使 用 Equal_Per_User 资源 分 配 策略 管理 系统 时 , 根据 运行 进程 的 用 户 账户 对 进程 进 
行 分 组 ， 并 同等 对 待 每 个 进程 组 。 例 如 ， 如 果 4 个 用 户 正 在 服务 器 上 运行 进程 ， 将 为 每 个 用 户 分 
配 系统 资源 的 25% 来 完成 这 些 进 程 。 分 配给 运行 一 个 应 用 程序 的 用 户 的 资源 与 分 配给 运行 多 个 
应 用 程序 的 用 户 相同 。 此 策略 对 于 应 用 程序 服务 器 尤其 有 用 。 

每 会 话 相等 。 使 用 Equal_Per_Session 资源 分 配 策略 管理 系统 时 ， 为 连接 到 系统 的 每 个 会 话 分 配 
相等 的 资源 。 此 策略 适用 于 终端 服务 器 。 

每 IIS 应 用 程序 池 相 等 。 使 用 Equal_Per_IISAppPool 资源 分 配 策略 管理 系统 时 , 将 同等 对 待 每 个 
正在 运行 的 11S 应 用 程序 池 ， 不 在 IIS 应 用 程序 池 中 的 应 用 程序 只 能 使 用 IIS 应 用 程序 池 未 使 用 的 
资源 。 


示例 :指定 服务 器 使 用 内 置 的 资源 管理 策略 。 
Web 服务 器 上 有 多 个 Web 站 点 , 每 个 Web 站 点 使 用 独立 的 应 用 程序 池 。 为 避免 某 一 个 Web 站 点 的 应 


用 程序 池 过 多 地 使 用 Web 服务 器 资源 而 影响 其 他 Web 站 点 的 性 能 ， 需 要 指定 Windows 资源 管理 器 中 默 


认 的 Equal_Per_IISAppPool 策略 为 管理 策略 。 


(0 
© 
® 
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选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 “Windows 系统 资源 管理 器 ”命令 。 

可 以 看 到 系统 内 置 的 资源 管理 策略 ， 当 前 生效 的 策略 是 Equal_Per_Process。 

如 图 8-53 所 示 ， 右 击 Equal_Per_IISAppPool 选项 ， 在 弹出 的 快捷 菜单 中 选择 “设置 为 管理 策略 ” 
命令 ， 在 “警告 ”对 话 框 中 ， 单 击 “ 确 定 ” 按 钮 。 日 历 被 禁用 。 

图 8-54 所 示 ， 可 以 看 到 Equal_Per_IISAppPool 策略 生效 。 日 历 被 禁用 。 


© 注意 : 系统 资源 分 配 策略 可 以 有 多 个 ， 但 在 某 一 时 刻 只 能 有 一 个 生效 。 
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8.4.6 


图 8-53 ”应 用 默认 策略 图 8-54 生效 的 策略 


自 定 义 资源 管理 


可 以 使 用 自 定义 资源 管理 方法 来 确定 资源 用 户 ， 并 根据 自己 的 条 件 为 这 些 用 户 分 配 资源 。 


[2963 


第 8 章 监视 和 优化 性 能 


里 ”进程 匹配 条 件 。 使 你 可 以 选择 要 受 资源 分 配 策略 规则 管理 的 服务 或 应 用 程序 。 可 以 通过 文件 名 或 
命令 进行 选择 ， 也 可 以 指定 用 户 或 组 。 例 如， 可 以 创建 一 个 进程 匹配 条 件 ， 对 Administrator 用 
户 运 行 的 应 用 程序 iexplore.exe 实施 管理 。 

和 ”资源 分 配 策略 。 为 你 创建 的 进程 匹配 条 件 所 指定 的 进程 分 配 处 理 器 资源 和 内 存 资 源 。 

@ 排除 列表 。 使 应 用 程序 、 服 务 、 用 户 或 组 不 受 Windows 系统 资源 管理 器 管理 。 


© 注意 : 也 可 以 在 资源 分 配 策略 中 使 用 命令 行路 径 匹配 ， 使 应 用 程序 不 受 该 策略 的 管理 。 


里。 计划。 使 用 日 历 界面 控制 一 次 性 事件 或 对 资源 分 配 的 定期 更 改 。 不 同 的 资源 分 配 策略 可 以 在 每 天 
的 不 同时 间 、 每 周 的 不 同 天 或 根据 其 他 计划 方法 处 于 活动 状态 。 

于 “条 件 策略 的 应 用 。 自动 切 换 资源 分 配 策略 ,以 响应 特定 系统 事件 (例如 , 安装 新 内 存 或 其 他 处 理 器 ， 
启动 或 停止 节点 ， 或 更 改 群集 中 的 某 个 资源 组 的 可 用 性 )]。 

示例 1: 利用 日 历 安排 系统 资源 管理 策略 。 

可 以 利用 日 历 安 排 Windows 系统 资源 管理 策略 。 

比如 每 天 8:00 到 12:00 的 时 间 段 使 用 Equal_Per_IISAppPool 策略 ，14:00 到 16:00 的 时 间 段 使 用 

Equal_Per_Process 策略 。 

@ 选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 “Windows 系统 资源 管理 器 ”命令 。 

@ 右 击 “日 历 ” 选 项 ， 在 弹出 的 快捷 菜单 中 选择 “启用 ”命令 。 

@” 右 击 如 图 8-55 所 示 的 位 置 ， 在 弹出 的 快捷 菜单 中 选择 “新 建 定期 事件 ”命令 。 


8-55 创建 定期 事件 


如 图 8-56 所 示 ， 输 入 事件 名 Equal_Per_IISAppPool， 设 置 开 始 时 间 和 结束 时 间 ， 策 略 名 称 选 择 
Equal_Per_IISAppPool， 单 击 “ 确 定 ”按钮 。 

如 图 8-57 所 示 ， 再 新 建 定期 事件 ， 事 件 名 输入 Equal_Per_Process， 策 略 名 称 选 择 
Equal_Per_Process。 

如 图 8-58 所 示 ， 可 以 看 到 由 日 历 安排 系统 使 用 的 系统 资源 配置 策略 。 

更 改 系统 时 间 ， 会 发 现在 不 同 的 时 间 段 ， 系 统 将 会 使 用 不 同 的 策略 。 


QQ@ @ © 
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@ 系统 管理 之 首 


图 8-58 日 历 安排 策略 


示例 2: 创建 自 定义 的 资源 分 配 策略 。 
指定 Administrator 使 用 记事 本 程序 的 系统 资源 分 配 策略 。 
@ ”如 图 8-59 所 示 ， 单 击 “ 新 建 进程 匹配 条 件 ” 选 项 。 


EREEEEEEEXYTEDCTEID 


图 8-59 新 建 进程 匹配 条 件 


@ 如 图 8-60 所 示 ， 在 “新 建 进程 匹配 条 件 ” 对 话 框 中 ， 输 入 条 件 名 adminUseNotepad， 单 击 “ 添 


加 ”按钮 。 
图 如 图 8-61 所 示 ， 在 “添加 规则 ”对 话 框 中 ， 从 下 拉 列 表 框 中 选择 “应 用 程序 ”， 单 击 “ 选 择 ” 


按钮 。 


[298 1 


第 8 章 监视 和 优化 性 能 


图 8-60 输入 条 件 名 图 8-61 选择 应 用 程序 


@ ”如 图 8-62 所 示 ， 在 打开 的 对 话 框 中 ， 输 入 %SystemRoot%Nsystem32Nnotepad.exe， 单 击 “确定 ” 
按钮 。 

回 如 图 8-63 所 示 ， 切 换 到 “用 户 或 组 ”选项 卡 ， 单 击 “ 添 加 ”按钮 ， 输 入 administrator， 单 击 “ 确 
定 ”按钮 。 


图 8-62 选择 记事 本 程序 图 8-63 添加 用 户 


图 8-64 ”创建 资源 分 配 策略 


@ 如 图 8-65 所 示 ， 在 “新 建 资 源 分 配 策略 ”对 话 框 中 ， 输 入 策略 名 称 “ 限 制 管理 员 使 用 记事 本 ”， 
单 击 “ 添 加 ”按钮 。 


1299'1 


四 


如 图 8-66 所 示 ， 在 “添加 或 编辑 资源 分 配 ” 对 话 框 中 ， 进 程 匹配 条 件 选中 adminUseNotepad， 


图 8-65 输入 策略 名 称 图 8-66 选择 进程 匹配 条 件 
如 图 8-67 所 示 ， 限 定 最 大 内 存 1 MB。 如 果 超 过 了 内 存 ， 选 中 “停止 此 应 用 程序 ”选项 ， 单 击 “ 确 
定 ” 按 钮 。 


图 8-67 选择 内 存 最 大 限制 


@@ 如 图 8-68 所 示 ， 右 击 刚才 创建 的 策略 ， 在 弹出 的 快捷 菜单 中 选择 “设置 为 管理 策略 ”命令 ， 这 样 
就 禁止 了 日 历 中 的 安排 。 


图 8-68 指定 为 管理 策略 
@@ ”打开 记事 本 ， 你 会 发 现 ， 只 要 记事 本 程序 占用 的 内 存 大 于 1 MB， 就 会 立即 关闭 记事 本 。 
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安全 策略 是 影响 计算 机 安全 性 的 安全 设置 的 组 
合 。 可 以 利用 本 地 安全 策略 来 编辑 本 地 计算 机 上 的 账 
户 策略 和 本 地 策略 。 

利用 安全 性 策略 ， 可 以 强化 公司 网 络 的 安全 性 。 
这 些 安全 性 策略 定义 了 一 个 公司 对 于 正确 使 用 计算 机 
的 期 望 值 ， 也 确定 了 特殊 的 过 程 ， 用 于 防止 发 生 安全 
性 事故 和 对 已 经 发 生 的 安全 性 事故 做 出 响应 。 因 此 ， 
由 网 络 管理 员 保护 工作 站 上 桌面 和 服务 的 安全 性 是 非 
常 重要 的 。 通过 应 用 安全 性 策略 ， 可 以 防止 用 户 破坏 
计 算 机 配置 置 ， 并 且 可 以 保护 网 络 中 的 敏感 区 域 。 

通过 配置 本 地 安全 策略 ， 可 以 加 固 服务 器 安全 。 
的 下 几 个 方面 配 人 账户 策略 、 审 核 策 

、 用 户 权限 分 配 、 安 全 选项 及 软件 限制 策略 。 

高 级 Windows 防火 墙 能 够 控制 进入 操作 系统 的 
流量 ， 也 能 够 控制 出 去 的 流量 ， 还 能 够 配置 服务 器 之 
间 进 行 加 密 的 通信 。 


全 关键 词 


配置 系统 的 账户 策略 
启用 审核 策略 
配置 用 户 权限 分 配 
配置 安全 选项 
配置 高 级 的 Windows 防火 墙 
配置 软件 限制 策略 
使 用 本 地 组 策略 配置 系统 安全 


9.1 配置 工作 组 计算 机 系统 安全 


任务 描述 


= ”配置 工作 组 中 计算 机 的 系统 安全 。 
”配置 域 中 计算 机 的 系统 安全 。 


实战 环境 


和 ”DCServer 是 Ess.com 域 的 域 控制 器 ， 操 作 系统 是 Windows Server 2008 企业 版 。 
和 ”Sales 是 该 域 的 计算 机 ， 操 作 系 统 是 Vista。 
”WorkgroupServer 是 工作 组 中 的 计算 机 ， 操 作 系 统 是 Windows Server 2008 企业 版 。 


实战 目标 
学 会 配置 工作 组 中 计算 机 的 系统 安全 。 


9.2 ”账户 策略 的 设置 


9.2.1 设置 密码 策略 
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1. 为 工作 组 中 的 计算 机 设置 密码 策略 


@ 以 管理 员 的 身份 登录 WorkgroupServer 计算 机 。 

@ 选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 “本 地 安全 策略 ”命令 。 

@ ”选择 “帐户 策略 ”下 的 “密码 策略 ”选项 ， 可 以 看 到 如 图 9-1 所 示 的 几 项 设置 。 
@ ”按照 图 9-2 所 示 ， 设 置 安全 策略 。 


图 9-1 密码 策略 图 9-2 设置 安全 策略 
回 ”如 图 9-3 所 示 ， 进 入 命令 行 ， 以 下 是 创建 用 户 时 密码 不 满足 策略 的 情况 。 


© wortaraupserer -vwuere Workstation acE Ediion ee 
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9-3 ”密码 要 求 


2. 密码 必须 符合 复杂 性 要 求 

此 安全 设置 确定 密码 是 否 必 须 符合 复杂 性 要 求 。 

如 果 启 用 此 策略 ， 密 码 必须 符合 下 列 最 低 要 求 。 

里 “不 能 包含 用 户 的 账户 名 ， 不 能 包含 用 户 姓名 中 超过 两 个 连续 字符 的 部 分 。 


里 至 少 有 6 个 


”包含 以 下 四 类 字符 


。 10 个 基本 数字 (0~9)。 


。 非 字母 字符 


3. 最 短 密码 长 度 


(例如 : !、$、#、%)。 


此 安全 设置 确定 用 户 账 户 密码 包含 的 最 少 字 符 数 。 可 以 将 值 设置 为 介 于 1 一 14 字符 之 间 ， 或 者 将 字符 


数 设置 为 0， 以 确定 不 曙 
4. 密码 最 短 使 用 期 


要 密码 。 


民 


此 安全 设置 确定 在 


户 更 改 某 个 密码 之 前 必须 使 用 该 密码 一 段 时 间 ( 以 天 为 单位 )。 可 以 设置 一 个 介 于 


1 一 998 天 之 间 的 值 ， 或 者 将 天 数 设置 为 0， 人 允许 立即 更 改 密码 。 


密码 最 短 使 用 期 限 


必 


须 小 于 密码 最 长 使 用 期 限 ， 除 非 将 密码 最 长 使 用 期 限 设置 为 0， 指 明 密 码 永 不 过 


期 。 如 果 将 密码 最 长 使 


期 限 设置 为 0， 则 可 以 将 密码 最 短 使 用 期 限 设 置 为 介 于 0 一 998 之 间 的 任何 值 。 


如 果 希 望 “ 强 制 密码 历史 ”有 效 ， 则 需要 将 密码 最 短 使 用 期 限 设置 为 大 于 0 的 值 。 如 果 没 有 设置 密码 


最 短 使 用 期 限 ， 用 户 则 互 
员 能 够 为 用 户 指定 密码 ， 
将 不 必 选 择 新 密码 。 因 


以 循环 选择 密码 ， 直 到 获得 期 望 的 旧 密 码 。 默 认 设置 没有 遵从 此 建议 ， 以 便 管 理 
然后 要 求 用 户 在 登录 时 更 改 管理 员 定义 的 密码 。 如 果 将 密码 历史 设置 为 0， 用 户 
t， 默 认 情 况 下 将 “强制 密码 历史 ”设置 为 1。 
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5. 密码 最 长 使 用 期 限 

此 安全 设置 确定 在 系统 要 求 用 户 更 改 某 个 密码 之 前 可 以 使 用 该 密码 的 期 间 ( 以 天 为 单位 ), 可 以 将 密码 设 
置 为 在 某 些 天 数 ( 介 于 1 一 999 之 间 ) 后 到 期 , 或 者 将 天 数 设 置 为 0， 指定 密 码 永 不 过 期 。 如果 密 码 最 长 使 用 
期 限 介 于 1 一 999 天 之 间 ， 密 码 最 短 使 用 期 限 必须 小 于 密码 最 长 使 用 期 限 。 如 果 将 密码 最 长 使 用 期 限 设置 
为 0， 则 可 以 将 密码 最 短 使 用 期 限 设置 为 介 于 0 一 998 天 之 间 的 任何 值 。 


注意 : 默认 值 为 42。 安 全 最 佳 操作 是 将 密码 设置 为 30 一 90 天 后 过 期 ， 具 体 取决 于 用 户 的 环境 。 这样， 
攻击 者 用 来 破解 用 户 密码 以 及 访问 网 络 资源 的 时 间 将 受到 限制 。 


6. 强制 密码 历史 

此 安全 设置 确定 用 户 更 改过 多 少 次 密码 后 才能 使 用 以 前 的 旧 密 码 。 该 值 必须 介 于 0 一 24 个 密码 之 间 。 

此 策略 使 管理 员 能 够 通过 确保 旧 密 码 不 被 连续 重新 使 用 增强 安全 性 。 

若 要 维护 密码 历史 的 有 效 性 ， 还 要 同时 启用 密码 最 短 使 用 期 限 安全 策略 设置 ， 不 允许 在 密码 更 改 之 后 
立即 再 次 更 改 密码 。 

7. 用 可 还 原 的 加 密 来 储存 密码 

使 用 此 安全 设置 确定 操作 系统 是 否 使 用 可 还 原 的 加 密 来 储存 密码 。 

此 策略 为 某 些 应 用 程序 提供 支持 ， 这 些 应 用 程序 使 用 的 协议 需要 用 户 密码 来 进行 身份 验证 。 使 用 可 还 
原 的 加 密 储 存 密码 与 存储 纯 文本 密码 在 本 质 上 是 相同 的 。 因此 ， 除 非 应 用 程序 需求 比 保护 密码 信息 更 重要 ， 
否则 绝 不 要 启用 此 策略 。 

通过 远程 访问 或 Internet 身份 验证 服务 (IAS) 使 用 质询 握手 身份 验证 协议 (CHAP) 验 证 时 需要 设置 此 
策略 。 在 Internet 信息 服务 (IIS) 中 使 用 摘要 式 身份 验证 时 也 需要 设置 此 策略 。 

默认 值 : 禁用 。 


9.2.2 ”设置 账户 锁定 策略 aa 
机 Te Ck Wedowt rtp 
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防止 其 他 人 无 数 次 猜 计算 机 上 的 用 户 账户 密码 , 可 以 
设置 账户 锁定 阅 值 ， 如 图 9-4 所 示 。 ee 


Fe 


1. 账户 锁定 阅 值 


此 安全 设置 确定 导致 用 户 账户 被 锁定 的 登录 尝试 失 
败 的 次 数 。 在 管理 员 重 置 锁 定 账 户 或 账户 锁定 时 间 期 满 之 
前 ,无 法 使 用 该 锁定 账户 。 可 以 将 登录 尝试 失败 次 数 设 置 
为 介 于 0 一 999 之 间 的 值 。 如 果 将 值 设 置 为 0， 则 永远 不 
会 锁定 账户 。 

在 使 用 CtrltAlt+Del 组 合 键 或 密码 保护 的 屏幕 保护 
程序 锁定 的 工作 站 或 成 员 服 务 器 上 的 密码 尝试 失败 将 记 图 9-4 ”账户 锁定 策略 
作 登 录 尝 试 失败 。 
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2. 账户 锁定 时 间 

此 安全 设置 确定 锁定 账户 在 自动 解锁 之 前 保持 锁定 的 分 钟 数 。 可 用 范围 从 0 一 99 999 min。 如 果 将 账 
户 锁 定时 间 设 置 为 0， 账 户 将 一 直 被 锁定 直到 管理 员 明 确 解除 对 它 的 锁定 。 

如 果 定 义 了 账户 锁定 阔 值 ， 则 账户 锁定 时 间 必 须 大 于 或 等 于 重 置 时 间 。 

默认 值 : 无 。 因 为 只 有 在 指定 了 账户 锁定 阔 值 时 ， 此 策略 设置 才 有 意义 。 

3. 在 此 后 复位 账户 锁定 计数 器 

此 安全 设置 确定 在 某 次 登录 尝试 失败 之 后 将 登录 尝试 失败 计数 器 重 置 为 0 次 错误 登录 尝试 之 前 需要 
的 时 间 。 可 用 范围 是 1 一 99 999 min。 

如 果 定 义 了 账户 锁定 阔 值 ， 此 重 置 时 间 必 须 小 于 或 等 于 账户 锁定 时 间 。 

默认 值 : 无 。 因 为 只 有 在 指定 了 账户 锁定 阔 值 时 ， 此 策略 设置 才 有 意义 。 

4. 示例 

如 图 9-5 所 示 ， 切 换 用 户 ， 使 用 hanlg 账户 输入 5 次 错误 密码 你 会 看 到 “引用 的 帐户 当前 已 经 锁定 ， 
且 可 能 无 法 登录 ”的 提示 。 

如 图 9-6 所 示 ， 切 换 到 管理 员 登 录 ， 打 开 服 务 器 管理 器 ， 双 击 hanlg 用 户 账号 ， 可 看 到 账户 已 经 被 
锁定 。 


图 9-5 登录 失败 图 9-6 ”账户 被 锁定 


9.3 ”设置 审核 策略 


9.3.1 审核 策略 简介 


本 节 介 绍 如 何 设置 应 用 于 审核 的 各 种 设置 ， 并 提供 了 由 几 个 常见 任务 创建 的 审核 事件 示例 。 每 当 用 户 
执行 了 指定 的 某 些 操作 ， 审 核 日 志 就 会 记录 一 个 审核 项 。 可 以 审核 操作 中 的 成 功 党 试 和 失败 党 试 。 
安全 审核 对 于 任何 企业 系统 来 说 都 极其 重要 ， 因 为 只 能 使 用 审核 日 志 来 说 明 是 否 发 生 了 违反 安全 的 
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事件 。 如 果 通 过 其 他 某 种 方式 检测 到 入 侵 ， 正 确 的 审核 设置 所 生成 的 审核 日 志 将 包含 此 次 入 侵 的 重要 信息 。 
1. 简介 


通常 ， 失 败 日 志 比 成 功 日 志 更 有 意义 ， 因 为 失败 通常 说 明 有 错误 发 生 。 例 如 ， 如 果 用 户 成 功 登录 到 系 
统 ， 一 般 认 为 这 是 正常 的 。 然 而 ， 如 果 用 户 多 次 尝试 都 未 能 成 功 登 录 到 系统 ， 则 说 明 可 能 有 人 正 试图 使 用 
他 人 的 用 户 ID 侵入 系统 。 事 件 日 志 记录 了 系统 上 发 生 的 事件 。 安 全 日 志 记录 了 审核 事件 。 组 策略 的 “ 事 
件 日 志 ” 容 器 用 于 定义 与 应 用 程序 、 安 全 性 和 系统 事件 日 志 相 关 的 属性 ， 例 如 日 志 大 小 的 最 大 值 、 每 个 日 
志 的 访问 权限 以 及 保留 设置 和 方法 。 

2. 审核 设置 

所 有 审核 设置 的 漏洞 、 对 策 和 潜在 影响 都 一 样 ， 因 此 这 些 内 容 仅 在 以 下 段落 中 详细 讲述 一 次 。 然 后 在 
这 些 段落 之 后 简要 说 明了 每 个 设置 。 

审核 设置 的 选项 如 下 。 

成功。 


”无 审核 。 

3. 漏洞 

如 果 未 配置 任何 审核 设置 ， 将 很 难 甚至 不 可 能 确定 出 现 安全 事件 期 间 发 生 的 情况 。 不 过 ， 如 果 因为 配 
置 了 审核 而 导致 有 太 多 的 授权 活动 生成 事件 ， 则 安全 事件 日 志 将 被 无 用 的 数据 填 满 。 为 大 量 对 象 配置 审核 
也 会 对 整个 系统 的 性 能 产生 影响 。 

4. 对 策 

组 织 内 的 所 有 计算 机 都 应 启用 适当 的 审核 策略 。 这 样 合法 用 户 可 以 对 其 操作 负责 ， 而 未 经 授权 的 行为 
可 以 被 检测 和 跟踪 。 

5. 潜在 影响 

如 果 在 组 织 内 的 计算 机 上 没有 配置 审核 ， 或 者 将 审核 设置 得 太 低 ， 将 缺少 足够 的 甚至 根本 没有 可 用 的 
证 据 ， 可 在 发 生 安全 事件 后 用 于 网 络 辩论 分 析 ， 而 另 一 方面 ， 如 果 启 用 过 多 的 审核 ， 安 全 日 志 中 将 填 满 毫 
无 意义 的 审核 项 。 


9.3.2 审核 设置 


1. 审核 账户 登录 事件 


“审核 账户 登录 事件 ”设置 用 于 确定 是 否 对 用 户 在 另 一 台 计 算 机 上 登录 或 注销 的 每 个 实例 进行 审核 ， 
该 计算 机 记录 了 审核 事件 ， 并 用 来 验证 账户 。 如 果 定 义 了 该 策略 设置 ， 则 可 指定 是 否 审核 成 功 、 失 败 或 根 
本 不 审核 此 事件 类 型 。 成 功 审核 会 在 账户 登录 尝试 成 功 时 生成 一 个 审核 项 ， 该 审核 项 的 信息 对 于 记 账 以 及 
事件 发 生 后 的 辩论 十 分 有 用 ， 可 用 来 确定 哪个 人 成 功 登 录 到 哪 台 计 算 机 。 失 败 审核 会 在 账户 登录 尝试 失败 
时 生成 一 个 审核 项 ， 该 审核 项 对 于 入 侵 检测 十 分 有 用 ; 但 此 设置 可 能 会 导致 拒绝 服务 (DDoS) 状态 ， 因 为 
攻击 者 可 以 生成 数 百 万 次 登录 失败 ， 并 将 安全 事件 日 志 填 满 。 

如 果 在 域 控制 器 上 启用 了 账户 登录 事件 的 成 功 审核 ， 则 对 于 没有 通过 域 控制 器 验证 的 每 个 用 户 ， 都 会 
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为 其 记录 一 个 审核 项 ， 即 使 该 用 户 实际 上 只 是 登录 到 加 入 该 域 的 一 个 工作 站 上 。 

2. 审核 账户 管理 

“审核 账户 管理 ”设置 用 于 确定 是 否 对 计算 机 中 的 每 个 账户 管理 事件 进行 审核 。 

账户 管理 事件 的 示例 包括 以 下 内 容 。 

”人 创建、 修改 或 删除 用 户 账户 或 组 。 

 ” 重 命 名 、 禁 用 或 启用 用 户 账户 。 

”设置 或 修改 密码 。 

如 果 定 义 了 此 策略 设置 ， 则 可 指定 是 否 审核 成 功 、 审 核 失败 或 根本 不 审核 此 事件 类 型 。 成 功 审核 会 在 
任何 账户 管理 事件 成 功 时 生成 一 个 审核 项 ， 并 且 应 在 企业 中 的 所 有 计算 机 中 启用 这 些 成 功 审核 。 在 响应 安 
全 事件 时 ， 组 织 可 以 对 创建 、 更 改 或 删除 账户 的 人 员 进行 跟 踪 ， 这 一 点 非常 重要 。 失 败 审核 会 在 任何 账户 
管理 事件 失败 时 生成 一 个 审核 项 。 

3. 审核 目录 服务 访问 


“审核 目录 服务 访问 ”设置 用 于 确定 是 否 对 用 户 访问 Microsoft Active Directory 对 象 的 事件 进行 审核 ， 
该 对 象 指 定 了 自身 的 系统 访问 控制 列表 (SACL)。SACL 是 用 户 和 组 的 列表 。 对 象 上 针对 这 些 用 户 或 组 的 操 
作 将 在 基于 Windows 2000 的 网 络 中 进行 审核 。 

如 果 定 义 了 此 策略 设置 ， 则 可 指定 是 否 审核 成 功 、 审 核 失 败 或 根本 不 审核 此 事件 类 型 。 成 功 审核 会 在 
用 户 成 功 访问 指定 了 SACL 的 Active Directory 对 象 时 生成 一 个 审核 项 。 失 败 审核 会 在 用 户 试图 访问 指定 
了 SACL 的 Active Directory 对 象 失败 时 生成 一 个 审核 项 。 启 用 “审核 目录 服务 访问 ”并 在 目录 对 象 上 配 
置 SACL， 可 以 在 域 控制 器 的 安全 日 志 中 生成 大 量 审核 项 ， 因 此 仅 在 确实 要 使 用 所 创建 的 信息 时 才 应 启用 
这 些 设置 。 

4. 审核 登录 事件 

“审核 登录 事件 ”设置 用 于 确定 是 否 对 用 户 在 记录 审核 事件 的 计算 机 上 登录 、 注 销 或 建立 网 络 连接 的 
每 个 实例 进行 审核 。 如 果 正 在 域 控制 器 上 记录 成 功 的 账户 登录 审核 事件 ， 工 作 站 登录 尝试 将 不 生成 登录 审 
核 。 只 有 域 控制 器 自身 的 交互 式 登录 和 网 络 登录 尝试 才 生 成 登录 事件 。 总 而 言 之 ， 账 户 登 录 事件 是 在 账户 
所 在 的 位 置 生成 的 ， 而 登录 事件 是 在 登录 尝试 发 生 的 位 置 生成 的 。 

如 果 定 义 了 此 策略 设置 ， 则 可 指定 是 否 审核 成 功 、 审 核 失败 或 根本 不 审核 此 事件 类 型 。 成 功 审核 会 在 
登录 尝试 成 功 时 生成 一 个 审核 项 。 该 审核 项 的 信息 对 于 记 账 以 及 事件 发 生 后 的 辩论 十 分 有 用 ， 可 用 来 确定 
哪个 人 成 功 登 录 到 哪 台 计 算 机 。 失 败 审核 会 在 登录 尝试 失败 时 生成 一 个 审核 项 ， 该 审核 项 对 于 入 侵 检 测 十 
分 有 用 ,但 此 设置 可 能 会 导致 遭受 DDoS 攻击 ， 因 为 攻击 者 可 以 生成 数 百 万 次 登录 失败 ， 并 将 安全 事件 日 
志 填 满 。 

5. 审核 对 象 访问 

此 安全 设置 确定 是 否 审核 用 户 访问 指定 了 它 自 己 的 系统 访问 控制 列表 (SACL) 的 对 象 (例如 文件 、 文 件 
夹 、 注 册 表 项 及 打印 机 等 ) 的 事件 。 

如 果 定 义 了 此 策略 设置 ， 可 以 指定 是 否 审核 成 功 、 审 核 失 败 或 者 根本 不 审核 该 事件 类 型 。 成 功 审核 在 
户 成 功 访问 指定 了 相应 SACL 的 对 象 时 生成 审核 项 。 失 败 审核 在 用 户 尝试 访问 指定 了 SACL 的 对 象 失 
败 时 生成 审核 项 。 
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© 注意 ;使 用 文件 系统 对 象 “属性 ”对 话 框 中 的 “安全 ”选项 卡 ， 可 以 在 该 对 象 上 设置 SACT。 


9.3.3 示例: 审核 对 文件 夹 失败 的 访问 


1. 任务 描述 
test 文件 夹 拒绝 han 用 户 账户 , 启用 审核 策略 , 并 且 在 test 文件 夹 上 审核 han 用 户 对 该 文件 夹 的 访问 。 
2. 步骤 


@ 如 图 9-7 所 示 ， 双 击 “审核 对 象 访问 ”， 选 中 “失败 ” 复 选 框 ， 单 击 “ 确 定 ”按钮 。 
加 如 图 9-8 所 示 ， 在 了 盘 中 创建 一 个 文件 夹 test， 拒 绝 han 用 户 读 取 和 执行 、 列 出 文件 夹 目录 和 读 
取 权 限 。 
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图 9-7 设置 审核 策略 图 9-8 ”在 资源 上 设置 审核 (一 ) 
@ 如 图 9-9 所 示 ， 单 击 test 文件 夹 属性 “安全 ”选项 卡 中 的 “高 级 ”按钮 ， 在 出 现 的 对 话 框 中 ， 单 
击 “ 审 核 ”选项 卡 中 的 “编辑 ”按钮 ， 单 击 “ 添 加 ”按钮 。 
@@ 如 图 9-10 所 示 ， 在 出 现 的 选择 用 户 对 话 框 中 ， 输 入 han， 单 击 “ 检 查 名 称 ” 按 钮 。 


图 9-9 在 资源 上 设置 审核 (二 ) 图 9-10 选择 用 户 或 组 
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第 9 章 ”Windows Server 2008 安全 策略 


图 出现 如 图 9-11 所 示 的 对 话 框 ， 在 “ 列 出 文件 夹 / 读 取 数据 ” 右 侧 选 中 “失败 ”下 的 复 选 框 。 
如 图 9-12 所 示 ， 切 换 用 户 ， 以 han 用 户 登 录 ， 双 击 test 文件 夹 ， 被 拒绝 。 
@ ”如 图 9-13 所 示 ， 切 换 至 管理 员 ， 查 看 日 志 。 可 以 看 到 han 用 户 访问 E:\test 文件 夹 审 核 失 败 。 


ee 
s uO OaD ssSoyia Daslcal 


图 9-13 ”查看 审核 日 志 


9.3.4 示例 : 登录 服务 器 失败 ，Windows Server 2008 自动 报警 


相信 不 少 网 络 管理 员 都 有 过 这 样 的 经 历 : 有 时 局 域 网 服务 器 系统 出 现 了 一 些 莫名 其 妙 的 故障 现象 ， 查 
看 对 应 系统 的 事件 日 志 内 容 时 ， 却 发 现 事 件 日 志 中 非常 直观 地 指明 了 故障 现象 的 具体 原因 。 那 能 和 否 让 服务 
器 系统 自动 报警 ， 及 时 提醒 网 络 管理 员 当前 系统 发 生 了 重大 事件 呢 ? 


在 Windows Server 2008 系统 环境 下 ， 我 们 可 以 轻松 地 做 到 这 一 点 。 因 为 该 系统 已 经 将 任务 计划 功能 
和 事件 查看 器 程序 整合 在 一 起 ， 在 事件 查看 器 窗口 中 我 们 可 以 轻松 针对 一 些 重要 事件 添加 报警 任务 ， 日 后 
一 旦 重要 事件 发 生 时 Windows Server 2008 系统 自然 会 自动 报警 了 。 


1. 自动 报警 思路 
由 于 Windows Server 2008 系统 的 自动 报警 功能 只 有 基于 某 个 特定 的 系统 事件 才能 启用 运行 ， 不 过 
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Windows Server 2008 系统 在 默认 状态 下 不 会 自动 记录 下 登录 服务 器 失败 的 事件 ， 为 此 我 们 应 该 先 修改 对 
应 系统 的 审核 策略 ， 确 保 对 登录 服务 器 失败 行为 进行 审核 。 接 着 退出 服务 器 系统 ， 并 随意 使 用 一 个 用 户 账 
号 尝试 登录 Windows Server 2008 系统 ， 一 旦 登录 失败 时 ， 对 应 系统 的 事件 查看 器 中 就 会 自动 生成 一 个 登 
录 服 务 器 失败 的 事件 记录 。 之 后 ， 我 们 针对 这 个 登录 服务 器 失败 的 事件 记录 ， 附 加 一 个 发 出 报警 的 任务 计 
划 。 当 以 后 再 有 用 户 登 录 服 务 器 失败 时 ， 那 么 对 应 该 事件 记录 的 任务 计划 就 会 被 自动 触发 运行 ， 此 时 网 络 
管理 员 就 能 根据 报警 提示 信息 ， 及 时 采取 措施 来 解决 登录 服务 器 失败 故障 现象 了 。 


2. 任务 审核 登录 失败 操作 


由 于 Windows Server 2008 系统 的 日 志 功 能 在 默认 状态 下 不 会 自动 记录 服务 器 登录 失败 操作 ， 必 须 先 
对 这 种 操作 进行 安全 审核 ， 日 后 服务 器 系统 才 会 对 系统 登录 失败 操作 进行 日 志 记录 。 在 对 服务 器 登录 失败 
操作 进行 审核 时 ， 可 以 按照 如 下 步骤 来 进行 。 
中 ”以 超级 管理 员 权 限 进 入 Windows Server 2008 系统 ， 从 该 系统 桌面 中 打开 “开始 ”菜单 ， 并 从 中 
选择 “运行 ”命令 ， 打 开 系 统 “运行 ”对 话 框 。 
@ 在 其 中 输入 字符 串 命令 secpol.msc， 按 Enter 键 ， 打 开 对 应 系统 的 本 地 安全 策略 列表 窗口 ， 如 
图 9-14 所 示 ， 设 置 审核 登录 事件 失败 。 
@ 如 此 一 来 ， Windows Server 2008 系统 的 日 志 功能 日 后 就 能 对 服务 器 登录 失败 操作 进行 自动 记 
录 了 。 


3. 创建 登录 失败 事件 


由 于 Windows Server 2008 系统 的 自动 报警 功能 是 基于 某 一 个 特定 事件 的 ， 为 此 需要 自行 创建 一 个 服 
务 器 登录 失败 事件 。 在 创建 服务 器 登录 失败 事件 时 ， 我 们 只 要 先 注销 当前 的 服务 器 系统 ， 之 后 随意 使 用 一 
个 不 合法 的 用 户 账号 尝试 登录 服务 器 系统 ， 当 系统 提示 登录 失败 时 ，Windows Server 2008 系统 的 日 志 
能 就 能 将 该 事件 记录 保存 下 来 了 。 此 时 ， 可 以 按照 如 下 步骤 来 查看 服务 器 登录 失败 事件 。 
Q@ 以 管理 员 账号 登录 ， 打 开 事 件 查看 器 ， 如 图 9-15 所 示 ， 可 以 看 到 登录 失败 的 日 志 记录 。 
@ ”此 时 可 看 到 一 个 事件 ID 为 4625 的 审核 失败 记录 ， 双 击 该 事件 记录 ， 从 其 后 的 界面 中 就 能 看 到 登 
录 服 务 器 失败 的 说 明 信 息 了 。 这 说 明 服 务 器 登录 失败 事件 已 经 创建 成 功 了 。 
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图 9-14 设置 审核 策略 图 9-15 ”登录 失败 日 志 记录 
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4. 附加 自动 报警 任务 


与 传统 操作 系统 不 一 样 的 是 ，Windows Server 2008 系统 可 以 针对 某 一 个 特定 的 事件 记录 附加 运行 任 
务 计划 。 利 用 该 功能 可 以 将 自动 报警 的 任务 计划 附加 到 服务 器 登录 失败 事件 中 ， 一 旦 日 后 有 用 户 再 次 遇 到 
登录 服务 器 失败 操作 时 , 网 络 管理 员 立 即 根据 Windows Server 2008 系统 的 自动 报警 提示 来 快速 解决 问题 。 
在 附加 自动 报警 任务 计划 时 ， 可 以 按照 如 下 步骤 来 进行 。 
”按照 前 面 的 操作 步 又 找到 事件 ID 为 4625 的 审核 失败 记录 ， 右 击 该 记录 选项 ， 从 弹出 的 快捷 菜单 
中 执行 “将 任务 附加 到 此 事件 ”命令 ， 如 图 9-16 所 示 。 当 然 ， 也 可 以 直接 单 击 右 侧 操作 列表 区 域 
中 的 “将 任务 附加 到 此 事件 ”选项 ， 打 开创 建 基本 任务 向 导 对 话 框 。 


sO DD i 门 西昌 | 日 
CD 


图 9-16 将 任务 附加 到 此 事件 
@ 如 图 9-17 所 示 ， 根 据 向 导 提示 设置 目标 任务 的 名 称 ， 在 这 里 将 该 任务 名 称 取 为 “服务 器 登录 失败 
报警 ”， 之 后 连续 单 击 “ 下 一 步 ”按钮 。 
图 如 图 9-18 所 示 ， 在 “登录 特定 事件 时 ”界面 中 ， 单 击 “ 下 一 步 ” 按 钮 。 


me ee em de ee 
I DD 村 古训 达 国门 着 加 | 门 | 


图 9-17 ”指定 任务 名 称 图 9-18 “登录 特定 事件 时 ”界面 
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图 在 此 界面 中 可 发 现 Windows Server 2008 系统 为 用 户 提供 了 3 种 操作 选项 ， 可 以 根据 自己 的 喜好 
任意 选择 一 种 自动 报警 的 方式 ， 如 图 9-19 所 示 ， 在 这 里 选择 “显示 消息 ” 单 选 按钮 。 

回 ”继续 单 击 “ 下 一 步 “ 按 钮 ， 打 开 如 图 9-20 所 示 的 报警 内 容 设 置 界 面 ， 在 这 里 设置 报警 的 标题 以 及 
内 容 信息 ， 设 定 的 内 容 日 后 会 自动 显示 在 报警 提示 对 话 框 中 。 假 设 在 这 里 将 报警 标题 “服务 器 登 
录 失 败 报警 ”内 容 设 置 为 “当前 有 人 登录 服务 器 失败 ， 请 立即 采取 措施 解决 问题 !”。 


图 9-19 操作 选项 图 9-20 报警 内 容 


如 图 9-21 所 示 选 中 “ 当 单 击 (完成 ) 时 ， 打 开 此 任务 属性 的 对 话 框 ” 复 选 框 ， 如 图 9-22 所 示 ， 可 以 
看 到 已 经 创建 了 一 个 任务 计划 。 


图 9-21 完成 附加 警报 图 9-22 任务 计划 


@ 如 图 9-23 所 示 ， 按 Ctrl+Alt+Insert 组 合 键 ， 切 换 用 户 ， 输 入 一 次 错误 的 账号 和 密码 ， 再 输入 正确 
的 用 户 密码 登录 。 可 以 看 到 登录 后 有 消息 提示 框 出 现 。 
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9-23 ”警报 信息 


9.4 用 户 权 限 分 配 


用 户 权限 是 允许 用 户 在 计算 机 系统 或 域 中 执行 的 任务 。 有 两 种 类 型 的 用 户 权限 : 登录 权限 和 特权 。 

登录 权限 控制 为 谁 授予 登录 计算 机 的 权限 以 及 他 们 的 登录 方式 。 特 权 控制 对 计算 机 上 系统 范围 的 资源 
的 访问 ， 并 可 以 覆盖 在 特定 对 象 上 设置 的 权限 。 在 本 地 登录 计算 机 的 权限 就 是 一 种 登录 权限 。 关 闭 系统 的 
权限 就 是 一 种 特权 。 这 两 种 用 户 权限 都 由 管理 员 作为 计算 机 安全 设置 的 一 部 分 分 配给 单个 用 户 或 组 。 


9.4.1 用 户 权限 设置 


1. 允许 本 地 登录 

此 登录 权限 确定 哪些 用 户 能 以 交互 方式 登录 到 此 计算 机 。 通 过 在 连接 的 键盘 上 按 Ctrl+AlttDel 组 合 键 
启动 的 登录 要 求 用 户 具 有 此 登录 权限 。 此 外 ， 可 以 登录 用 户 的 某 些 服务 或 管理 应 用 程序 可 能 要 求 此 登录 权 
限 。 如 果 为 某 个 用 户 或 组 定义 此 策略 ， 则 还 必须 向 Administrators 组 授予 此 权限 。 

工作 站 和 服务 器 上 的 默认 值 : Administrators、Backup Operators 和 Users。 

域 控制 器 上 的 默认 值 : Account Operators、Administrators、Backup Operators、Print Operators 及 
Server Operators。 

2. 关闭 系统 
此 安全 设置 确定 哪些 在 本 地 登录 到 计算 机 的 用 户 可 以 使 用 关机 命令 来 关闭 操作 系统 。 误 用 此 用 户 权限 
会 导致 拒绝 服务 。 
工作 站 上 的 默认 值 : Administrators、Backup Operators 及 Users。 
服务 器 上 的 默认 值 : Administrators 和 Backup Operators。 
域 控制 器 上 的 默认 值 : Administrators、Backup Operators、Server Operators 及 Print Operators。 
3. 从 网 络 访问 此 计算 机 
此 用 户 权限 确定 允许 哪些 用 户 和 组 通过 网 络 连接 到 计算 机 。 此 用 户 权限 不 影响 终端 服务 。 
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工作 站 和 服务 器 上 的 默认 值 : Administrators、Backup Operators、Users 及 Everyone。 


域 控制 器 上 的 默认 值 : Administrators、Authenticated Users、Enterprise Domain Controllers、 
Everyone 及 Pre-Windows 2000 Compatible Access。 


9.4.2 示例 : 拒绝 本 地 登录 


WorkgroupServer 是 一 个 文件 服务 器 ， 只 允许 使 用 han 用 户 账户 从 网 络 访问 该 服务 器 中 的 资源 , 但 拒 
绝 han 用 户 账户 在 本 地 登录 。 

@ 如 图 9-24 所 示 ， 在 WorkgroupServer 上 拒绝 han 用 户 本 地 登录 。 

@ ”如 图 9-25 所 示 ， 双 击 “ 从 网 络 访问 此 计算 机 ”， 删 除 现 有 的 用 户 ， 添 加 han 用 户 账号 。 


二 ee 加 
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图 9-24 ”拒绝 本 地 登录 图 9-25 允许 从 网 络 访问 计算 机 


@ 在 Sales 计算 机 上 访问 WorkgroupServer 计算 机 的 共享 名 ， 输 入 win2008\han 和 密码 ， 能 够 访 
问 WorkgroupServer 共享 文件 ， 如 图 9-26 所 示 。 


© 注意 : win2008 是 WorkgroupServer 计算 机 的 计算 机 名 。 


@ 如 图 9-27 所 示 ， 在 WorkgroupServer 计算 机 上 ， 切 换 用 户 ， 发 现 已 经 没有 han 用 户 账户 列 出 。 
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9-26 ”从 网 络 访问 服务 器 图 9-27 本 地 登录 不 出 现 han 用 户 
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95 安全 选项 


9.5.1 安全 选项 设置 


1. 交互 式 登 录 : 不 显示 最 后 的 用 户 名 

该 安全 设置 确定 是 否 在 Windows 登录 屏幕 中 显示 最 后 登录 到 计算 机 的 用 户 的 名 称 。 

如 果 启 用 该 策略 ， 则 不 会 在 “登录 到 Windows” 对 话 框 中 显示 最 后 成 功 登 录 的 用 户 的 名 称 ; 

如 果 禁 用 该 策略 ， 则 显示 最 后 登录 的 用 户 的 名 称 。 

默认 : 禁 

2. 交互 式 登录 : 提示 用 户 在 密码 过 期 之 前 进行 更 改 

确定 提前 多 长 时 间 ( 以 天 为 单位 ) 向 用 户 发 出 其 密码 即将 过 期 的 警告 。 借 助 该 提前 警告 , 用 户 有 时 间 构 造 
足够 强大 的 密码 。 

默认 : 14 天 。 

3. 审核 ;如果 无 法 记录 安全 审核 则 立即 关闭 系统 

此 安全 设置 确定 无 法 记录 安全 事件 时 系统 是 否 会 关机 。 

启用 此 安全 设置 后 ， 如 果 因 任何 原因 无 法 记录 安全 审核 ， 它 就 会 停止 系统 。 通 常 ， 当 安全 审核 日 志 已 
满 且 为 安全 日 志 指定 的 保留 方法 为 “不 覆盖 事件 ”或 “ 按 天 数 覆 盖 事 件 ” 时 ， 会 无 法 记录 事件 。 

如 果 安 全 日 志 已 满 且 无 法 覆盖 某 个 现 有 条 目 ， 并 且 启 用 了 此 安全 选项 ， 则 会 出 现下 列 停止 错误 : 

STOP: C0000244 {审核 失败 } 

尝试 生成 安全 审核 失败 。 

若 要 恢复 , 管理 员 必 须根 据 需 要 登录 、 归档 日 志 ( 可 选 )、 清除 日 志 以 及 重 置 此 选项 。 即 使 安全 日 志 未 满 ， 
也 要 到 重 置 此 安全 设置 之 后 ， 非 Administrators 组 成 员 用 户 才 能 登录 到 系统 。 


(@) 注意 : 配置 此 安全 设置 时 ， 只 有 重新 启动 Windows， 更 改 才 会 生效 。 


默认 : 禁 

4. 网 络 访问 : 本 地 账户 的 共享 和 安全 模型 

此 安全 设置 确定 如 何 对 使 用 本 地 账户 的 网 络 登录 进行 身份 验证 。 如 果 将 此 设置 设 为 “经 典 ”， 使 用 本 
地 账户 凭据 的 网 络 登录 通过 这 些 赁 据 进行 身份 验证 。“ 经 典 ”模型 允许 更 好 地 控制 对 资源 的 过 度 访问 。 通 
过 使 有 用“ 经典” 模型， 可 以 针对 同一 个 资源 为 不 同 用 户 授予 不 同 的 访问 类 型 。 

如 果 将 此 设置 设 为 “ 仅 来 宾 ”， 使 用 本 地 账户 的 网 络 登录 会 自动 映射 到 来 宾 账户 。 通 过 使 用 “ 仅 来 宾 ” 
模型 ， 可 以 平等 地 对 待 所 有 用 户 。 以 来 宾 身 份 验证 所 有 用 户 ， 使 所 有 用 户 都 获得 相同 的 访问 权限 级 别 来 访 
问 指定 的 资源 ， 这 些 权 限 可 以 为 只 读 或 修改 。 

在 域 计算 机 上 的 默认 设置 : 经 典 。 
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在 独立 计算 机 上 的 默认 设置 : 仅 来 宾 。 


提示 : 

”图 ”使 用 “ 仅 来 宾 ” 模型 时 ， 所 有 可 以 通过 网 络 访问 计算 机 的 用 户 (包括 匿名 Internet 用 户 ) 都 可 以 访问 共 
享 资源 。 你 必须 使 用 Windows 防火 墙 或 其 他 类 似 设备 来 防止 对 计算 机 进行 未 经 授权 的 访问 。 同 样 ， 
使 用 “经 典 ”模型 时 ， 本 地 账户 必须 受 密码 保护 ， 否 则 ， 这 些 用 户 账户 可 以 被 任何 人 用 来 访问 共享 
的 系统 资源 。 

图” 此 设置 不 会 影响 通过 使 用 如 Telnet 或 终端 服务 等 服务 远程 执行 的 交互 式 登 录 。 此 策略 将 不 会 影响 运 
行 Windows 2000 的 计算 机 。 计算 机 未 加 入 域 时 ， 此 设置 也 会 将 Windows 资源 管理 器 中 的 “共享 
和 安全 ”选项 卡 修改 为 与 正在 使 用 的 共享 和 安全 模型 对 应 的 设置 。 


9.5.2 示例 : 不 显示 最 后 的 用 户 名 


为 确保 服务 器 安全 ， 不 显示 最 后 的 用 户 名 。 
中 如 图 9-28 所 示 ， 默 认 登 录 时 ， 按 Ctrl+Alt+Delete 组 合 键 ， 将 显示 所 有 的 用 户 名 。 
@ 如 图 9-29 所 示 ， 双 击 “ 交 互 式 登录 : 不 显示 最 后 的 用 户 名 ”， 选 中 “已 启用 ” 单 选 按钮 。 


二 二 
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图 9-28 显示 所 有 用 户 图 9-29 不 显示 登录 名 (一 ) 


图 如 图 9-30 所 示 ， 登 录 时 将 不 会 显示 该 计算 机 上 的 所 有 用 户 名 。 


图 9-30 不 显示 登录 名 (二 ) 
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9.5.3 示例: 只 允许 使 用 Guest 账户 访问 
@ ”如 图 9-31 所 示 ， 双 击 “ 网 络 访问 本 地 帐户 的 共享 和 安全 模型 ”， 选 中 “ 仅 来 宾 一 对 本 地 用 户 进 
行 身份 验证 ， 其 身份 为 来 宾 ” 选 项 。 


注意 : 如 果 启 用 “ 仅 来 宾 ”， 必 须 启 用 Guest 账户 。Guest 账户 的 密码 默认 为 空 。 如 果 Guest 帐户 密码 为 
空 ， 用 户 访问 WorkgourpServer 时 ， 不 需要 输入 账号 和 密码 ， 直 接 以 Guest 账户 连接 该 服务 器 即 可 。 


@ 如 图 9-32 所 示 ， 展 开 “ 服 务 器 管理 器 ”一 “配置 ”一 “本 地 用 户 和 组 ”一 “用 户 ” 节 点 ， 在 及 和 
的 窗 格 中 双击 Guest 账户 ， 在 用 户 属性 对 话 框 中 ， 取 消 选 中 “帐户 已 禁用 ” 复 选 框 ， 单 才 
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图 9-31 本 地 账户 的 共享 和 安全 模型 图 9-32 启用 Guest 账 户 


图 如 图 9-33 所 示 , 在 Sales 计算 机 上 访问 WorkgroupServer 计算 机 中 的 共享 资源 。 此 时 会 发 现 不 需 
要 输入 任何 凭据 ， 就 可 以 访问 WorkgroupServer 计算 机 中 的 共享 文件 和 打印 机 。 因 为 Guest 账 
户 密码 为 空 

@@ ”如 图 9-34 所 示 ， 如 果 Guest 账户 有 密码 ， 则 必须 输入 Guest 账户 以 及 密码 才能 访问 。 不 允许 使 用 
其 他 用 户 账户 访问 WorkgroupServer。 


EEC 


9-33 ”以 Guest 身份 访问 服务 器 9-34 ”输入 Guest 密码 
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9.6 高 级 Windows 防火 墙 


本 节 主 要 介绍 具有 高 级 安全 性 的 Windows 防火 墙 。 其 中 包括 有 关 防 火 墙 的 定义 、 运 行 方式 和 可 以 用 
于 配置 具有 高 级 安全 性 的 Windows 防火 墙 和 Internet 协议 安全 (IPSec) 设置 的 工具 的 概念 性 信息 。 


9.6.1 高 级 Windows 防火 墙 简介 


1. 具有 高 级 安全 性 的 Windows 防火 墙 


具有 高 级 安全 性 的 Windows 防火 墙 结合 了 主机 防火 墙 和 IPSec。 与 边界 防火 墙 不 同 ， 具 有 高 级 安全 
性 的 Windows 防火 墙 在 每 台 运行 此 版 本 Windows 的 计算 机 上 运行 , 并 对 可 能 穿越 外 围 网 络 或 源 于 组 织 
内 部 的 网 络 攻击 提供 本 地 保护 。 它 还 提供 计算 机 到 计算 机 的 连接 安全 ， 使 用 户 可 以 对 通信 要 求 身 份 验证 和 
数据 保护 。 

具有 高 级 安全 性 的 Windows 防火 墙 是 一 种 状态 防火 墙 , 检查 并 筛选 IP 版 本 4 (IPv4) 和 IP 版 本 6 
(IPv6) 流量 的 所 有 数据 包 。 默 认 情 况 下 阻止 传 入 流量 ， 除 非 是 对 主机 请 求 (请 求 的 流量 ) 的 响应 ， 或 者 被 特 
别 允 许 ( 即 创建 了 防火 墙 规则 允许 该 流量 )。 通 过 配置 具有 高 级 安全 性 的 Windows 防火 墙 设置 (指定 端口 
号 、 应 用 程序 名 称 、 服 务 名 称 或 其 他 标准 )， 可 以 显 式 允 许 流量 。 

使 用 具有 高 级 安全 性 的 Windows 防火 墙 还 可 以 请 求 或 要 求 计算 机 在 通信 之 前 互相 进行 身份 验证 ， 并 
在 通信 时 使 用 数据 完整 性 或 数据 加 密 。 


2. 高 级 安全 性 的 Windows 防火 墙 工 作 方式 

具有 高 级 安全 性 的 Windows 防火 墙 使 用 两 组 规则 配置 其 如 何 响应 传 入 和 传 出 流量 。 防 火 墙 规 则 确定 
允许 或 阻止 哪 种 流量 。 连 接 安全 规则 确定 如 何 保护 此 计算 机 和 其 他 计算 机 之 间 的 流量 。 通 过 使 用 防火 墙 配 
置 文件 (根据 计算 机 连接 的 位 置 应 用 )， 可 以 应 用 这 些 规则 以 及 其 他 设置 ， 还 可 以 监视 防火 墙 活动 和 规则 。 

3. 防火 墙 规则 


配置 防火 墙 规则 以 确定 阻止 还 是 允许 流量 通过 具有 高 级 安全 性 的 Windows 防火 墙 。 传 入 数据 包 到 达 
计算 机 时 ， 具 有 高 级 安全 性 的 Windows 防火 墙 检查 该 数据 包 ， 并 确定 它 是 否 符合 防火 墙 规则 中 指定 的 标 
准 。 如 果 数据 包 与 规则 中 的 标准 匹配 ， 则 具有 高 级 安全 性 的 Windows 防火 墙 执行 规则 中 指定 的 操作 ， 即 
阻止 连接 或 允许 连接 。 如 果 数据 包 与 规则 中 的 标准 不 匹配 ， 则 具有 高 级 安全 性 的 Windows 防火 墙 丢 弃 该 
数据 包 ， 并 在 防火 墙 日 志文 件 中 创建 条 目 (如 果 启用 了 日 志 记录 )。 

对 规则 进行 配置 时 ， 可 以 从 各 种 标准 中 进行 选择 : 例如 应 用 程序 名 称 、 系 统 服务 名 称 、TCP 端口 、 
UDP 端口 、 本 地 下 地 址 、 远 程 下 地 址 、 配 置 文件 、 接 口 类 型 (如 网 络 适 配器 )、 用 户 、 用 户 组 、 计 算 机 、 
计算 机 组 ,协议 及 ICMP 类 型 等 .规则 中 的 标准 添加 在 一 起 ;添加 的 标准 越 多 , 具有 高 级 安全 性 的 Windows 
防火 墙 匹配 传 入 流量 就 越 精细 。 


4. 连接 安全 规则 


可 以 使 用 连接 安全 规则 来 配置 本 计算 机 与 其 他 计算 机 之 间 特 定 连接 的 IPSec 设置 。 具有 高 级 安全 性 的 
Windows 防火 墙 使 用 该 规则 来 评估 网 络 通信 ， 然 后 根据 该 规则 中 所 建立 的 标准 阻止 或 允许 消息 。 在 某 些 
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环境 下 具有 高 级 安全 性 的 Windows 防火 墙 将 阻止 通信 。 如 果 所 配置 的 设置 要 求 连接 安全 (双向 )， 而 两 台 
计算 机 无 法 互相 进行 身份 验证 ， 则 将 阻止 连接 。 


9.6.2 ”防火 墙 配置 文件 


可 以 将 防火 墙 规则 和 连接 安全 规则 以 及 其 他 设置 应 用 于 一 个 或 多 个 防火 墙 配置 文件 。 然 后 将 这 些 配置 
文件 应 用 于 计算 机 ,这 取决 于 连接 计算 机 的 位 置 。 可 以 配置 计算 机 何 时 连接 到 域 、 专 用 网 络 (例如 家 庭 网 络 ) 
或 公用 网 络 (例如 Internet 展台 ) 的 配置 文件 。 

防火 墙 配置 文件 是 对 根据 连接 计算 机 的 位 置 应 用 于 计算 机 的 设置 (如 防火 墙 规则 和 连接 安全 规则 ) 进 行 
分 组 的 方式 ,在 运行 此 版 本 的 Windows 计算 机 上 ,具有 高 级 安全 性 的 Windows 防火 墙 有 3 个 配置 文件 。 
一 次 只 能 应 用 一 个 配置 文件 。 

配置 文件 


。” 域 ， 当 计算 机 连接 到 该 计算 机 域 账户 所 在 的 网 络 时 应 用 。 

”专用 : 当 计 算 机 连接 到 没有 该 计算 机 域 账户 的 网 络 (例如 家 庭 网 络 ) 时 应 用 。 专 用 配置 文件 设置 应 
比 域 配置 文件 设置 更 为 严格 。 

”公用 : 当 计算 机 通过 公用 网 络 (如 机 场 和 咖啡 店 中 的 可 用 网 络 ) 连 接 到 域 时 应 用 。 由 于 计算 机 所 连 
接 到 的 公用 网 络 无 法 像 IT 环境 中 一 样 严 格 控制 安全 ， 因 此 公用 配置 文件 设置 应 最 为 严格 。 


9.6.3 示例: 创建 一 个 在 企业 内 网 使 用 的 防火 墙 


你 的 笔记 本 电脑 有 两 个 工作 环境 ， 在 企业 内 网 和 公共 场所 。 企 业内 网 是 一 个 较为 安全 的 网 络 环境 。 下 
面 将 针对 较为 安全 的 场所 配置 防火 墙 。 


1. 配置 目标 

”更 改 网 络 位 置 。 

启用 网 络 发 现 。 

允许 访问 该 计算 机 的 共享 文件 夹 。 

2. 实战 环境 

WorkgroupServer， 安 装 了 Windows Server 2008 企业 版 的 操作 系统 ， 处 于 工作 组 中 。 
3. 步骤 


Q@ 在 WorkgroupServer 计算 机 上 。 

@ ”选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 “高 级 安全 Windows 防火 墙 ” 命令。 在 随后 打开 的 
对 话 框 中 ， 单 击 “ 本 地 计算 机 上 的 高 级 安全 Windows 防火 墙 ” 选项 ， 可 以 看 到 公用 配置 文件 是 
活动 。 

单 击 硕 按钮 ， 单 击 “ 网 络 和 共享 中 心 ”选项 ， 如 图 9-35 所 示 。 

如 图 9-36 所 示 ， 在 出 现 的 “网 络 和 共享 中 心 ”窗口 中 ， 单 击 “ 自 定义 ”按钮 。 

在 出 现 的 “设置 网 络 位 置 ”对 话 框 中 ， 选 中 “专用 ” 单 选 按钮 ， 单 击 “ 下 一 步 ” 按 钮 ， 完 成 设置 。 


四 所 四 
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图 9-36 “网 络 和 共享 中 心 ”窗口 图 9-37 更 改 网 络 位 置 


如 图 9-38 所 示 ， 再 次 打开 “高 级 安全 Windows 防火 墙 ”窗口 ， 看 到 专用 配置 文件 是 活动 的 。 

@ 如 图 9-39 所 示 ， 单 击 “Windows 防火 墙 属性 ”， 在 出 现 的 Windows 防火 墙 属 性 对 话 框 中 ， 切 
换 到 “专用 配置 文件 ”选项 卡 ， 防 火 墙 状态 为 “启用 ”， 入 站 连接 默认 “阻止 ”， 出 站 连接 默认 “人 允 
许 ”。 
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图 9-38 查看 活动 的 配置 文件 图 9-39 配置 Windows 防火 墙 
如 图 9-40 所 示 ， 单 击 “ 入 站 筛选 ” 选项 ， 可 以 看 到 所 有 的 预定 义 的 入 站 规则 ， 单 击 “ 按 配置 文件 ” 
选项 ， 选 择 “ 按 专用 配置 文件 筛选 ”命令 。 
@ 如 图 9-41 所 示 , 现在 看 到 的 入 站 规则 都 是 专用 配置 文件 的 规则 ， 单 击 “ 已 启用 ”选项 ， 可 以 按 启 
用 与 否 排 序 。 


图 9-40 ”筛选 规则 图 9-41 排序 规则 


@ 如 图 9-42 所 示 ， 打 开 “ 网 络 和 共享 中 心 ”窗口 ， 启 用 “文件 共享 ”、“ 打 印 机 共享 ”、“ 网 络 
发 现 ”。 
@ 如 图 9-43 所 示 ， 再 次 查看 防火 墙 规则 、 入 站 规则 ， 打 开 了 相应 端口 。 
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时 
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时 
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时 
时 
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村 
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图 9-42 配置 网 络 发 现 图 9-43 更改 网 络 发 现实 质 上 是 更 改 防火 墙 端口 


9.6.4 示例: 配置 Web 服务 器 网 络 安全 


高 级 Windows 防火 墙 不 但 能 够 控制 进入 计算 机 的 数据 流量 ， 还 能 控制 流出 的 流量 。 
1. 最 大 化 Web 服务 器 安全 

如 图 9-44 所 示 。 

”在 WorkgroupServer 上 安装 IS， 配 置 Web 站 点 。 
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于 “只 允许 目标 端口 是 80 的 数据 包 进入 Web 服务 器 。 
只 允许 源 端口 是 80 的 数据 包 从 Web 服务 器 出 来 


目标 端口 随机 源 端 U80 = 


Ee 


源 端口 随机 目标 端口 80 


多 


9-44 访问 Web 服务 器 流量 
2. 实战 环境 


于 “WorkgroupServer 是 工作 组 中 的 计算 机 ， 安 装 了 Windows Server 2008 企业 版 。IP 地 址 是 
10.7.10.125。 
和 ”DCServer 是 安装 了 Windows Server 2008 的 企业 版 。IP 地 址 是 10.7.10.12。 


3. 步骤 


四 ”如 图 9-45 所 示 ， 打 开 服 务 器 管理 器 ， 单 击 “ 添 加 角色 ”按钮 。 
@ 如 图 9-46 所 示 ， 在 出 现 的 “选择 服务 器 角色 ”界面 中 ， 选 中 “Web 服务 器 ” 复 选 框 ， 单 击 “ 下 一 


J me ee We em kop 
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图 9-45 添加 角色 图 9-46 选择 角色 


如 图 9-47 所 示 ， 在 弹出 的 对 话 框 中 ， 单 击 “ 添 加 必须 的 功能 ”。 单 击 “ 下 一 步 ” 按 钮 ， 完 成 安装 。 
打开 httpy/www.baidu.com 网 站 ， 选 择 “ 文 件 ” 一 “另存 为 ”命令 ， 将 该 网 页 保存 到 
C:\inetpub\wwwroot 目录 下 。 

选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 “Internet 信息 服务 (IIS) 管 理 器 ”命令 。 

如 图 9-48 所 示 ， 单 击 “ 默 认 文档 ”图 标 。 

如 图 9-49 所 示 ， 输 入 网 页 名 称 ， 单 击 “ 确 定 ” 按 钮 。 

如 图 9-50 所 示 ， 单 击 Default Web Site 选项 后 ， 单 击 “ 浏 览 *:80(http)” 选 项 。 

如 图 9-51 所 示 ， 可 以 打开 本 地 网 站 的 网 页 。 

如 图 9-52 所 示 ， 打 开 “ 网 络 和 共享 中 心 ” 窗 口 ， 将 位 置 更 改 为 “公用 网 络 ”， 如 图 9-52 所 示 ， 
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设置 “共享 和 发 现 ”。 


@ site 4 


图 9-51 浏览 网 页 图 9-52 设置 网 络 发 现 
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@@ 如 图 9-53 所 示 ， 打 开 Windows 防火 墙 属性 ， 将 公用 配置 文件 出 站 连接 默认 设置 成 “阻止 ”。 
中 如 图 9-54 所 示 ， 将 公用 配置 文件 其 他 的 规则 都 禁用 ， 只 留 下 “万 维 网 服务 (HTTPS 流入 量 )” 和 
“万 维 网 服务 (HTTP 流入 量 )”。 


ono OD P| 


图 9-53 更改 默认 的 出 站 规则 图 9-54 设置 入 站 规则 
四 如 图 9-55 所 示 ， 将 出 站 连接 的 规则 都 禁用 ， 右 击 “ 出 站 规则 ”， 在 弹出 的 快捷 菜单 中 选择 “新 规 
则 ”命令 。 


@@ ”如 图 9-56 所 示 ， 在 出 现 的 “规则 类 型 ”界面 中 ， 选 中 “端口 ” 单 选 按钮 ， 单 击 “ 下 一 步 ”按钮 。 
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图 9-55 新 建 出 站 规则 图 9-56 ”规则 类 型 


加 如 图 9-57 所 示 , 在 出 现 的 “协议 和 端口 ”界面 中 ,将 本 地 端口 设置 为 80， 单 击 “ 下 一 步 ”按钮 。 

色 如 图 9-58 所 示 ， 在 出 现 的 “操作 ”界面 中 ， 选 中 “允许 连接 ” 单 选 按钮 ， 单 击 “ 下 一 步 ” 按 钮 。 

四 ”如 图 9-59 所 示 ， 在 出 现 的 “配置 文件 ”界面 中 ， 只 选中 “公用 ” 复 选 框 ， 单 击 “ 下 一 步 ”按钮 。 

@” 如 图 9-60 所 示 ， 在 出 现 的 “名 称 ”对 话 框 中 ， 输 入 规则 名 称 ， 单 击 “ 下 一 步 ”按钮 ， 完 成 出 站 规 
则 创建 。 

国 ”如 图 9-61 所 示 ， 测 试 到 DCServer 的 访问 ，ping 10.7.10.12， 出 现 “ 一 般 故 障 ” 的 提示 。 这 说 明 
已 经 控制 了 出 站 流量 。 

四 


如 图 9-62 所 示 ， 在 DCServer 上 ， 打 开 正 浏览 器 ， 输 入 http://10.7.10.125， 按 Enter 键 。 此 时 ， 
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发 现 能 够 访问 其 站 点 。 
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9-57 ”指定 协议 和 端口 
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9-58 ”指定 操作 
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9-61 ”测试 规则 


9-62 ”测试 站 点 
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团 ”如 图 9-63 所 示 ，Ping 10.7.10.125， 发 现 不 通 。 


EE 


9-63 ”测试 网 络 层 


9.6.5 示例 : 配置 加 密 通信 

高 级 Windows 防火 墙 除了 能 够 允许 或 拒绝 某 些 通信 外 ， 还 支持 加 密 通 信 。 要 想 实 现 加 密 通 信 ， 需 要 
配置 连接 安全 规则 。 

1. 要 求 

服务 器 Research 远程 桌面 ， 只 允许 Sales 计算 机 和 WorkgroupServer 计算 机 访问 。 

要 求 到 Research 计算 机 远程 桌面 通信 实现 加 密 。 

在 域 中 的 计算 机 可 以 使 用 Kerberos 来 验证 对 方 计算 机 的 身份 。 

工作 组 中 的 计算 机 使 用 共享 密 钥 验证 对 方 计算 机 的 身份 。 

2. 实战 环境 

如 图 9-64 所 示 。 


IP 10.7.10.125 IP 10.7.10.40 | 


Workgroupserver Research 


9-64 ”实战 环境 
DCServer 是 Ess.com 域 中 的 域 控制 器 。 
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Sales 是 Ess.com 域 中 的 成 员 ，Vista 操作 系统 ，IP 地 址 10.7.10.56。 
Research 是 Ess.com 域 中 的 计算 机 ，JP 地 址 为 10.7.10.40。 
WorkgroupServer 是 工作 组 中 的 计算 机 ，TP 地 址 为 10.7.10.125。 


3. 步骤 


四 在 Research 服务 器 上 ， 以 域 管理 员 身份 登录 。 

@ 如 图 9-65 所 示 ， 打 开 “ 控 制 面板 ”一 “系统 ”， 单 击 “ 远 程 设置 ”， 选 择 “ 人 允许 运行 任意 版 本 远 
程 桌 面 的 计算 机 连接 ” 单 选 按 钮 ， 单 击 “确定 ”按钮 。 

@ 选择 “开始 ”一 “运行 ”命令 ,输入 wf.msc， 打 开 高 级 Windows 防火 墙 。 

图 如 图 9-66 所 示 ， 可 以 看 到 当前 活动 的 配置 文件 是 域 配置 文件 。 查 看 入 站 规则 ， 单 击 “ 按 配置 文件 


筛选 ”按钮 ， 选 择 “ 按 域 配置 文件 筛选 ”选项 。 


图 9-65 ”启用 远程 桌面 图 9-66 ”筛选 规则 


回 如 图 9-67 所 示 ， 双 击 入 站 规则 “远程 桌面 (TCP-In)”， 在 “常规 ”选项 卡 中 ， 选 中 “只 允许 安全 
连接 ” 单 选 按钮 ， 选 中 “要 求 加 密 ” 复 选 框 。 


如 图 9-68 所 示 ， 在 “作用 域 ”选项 卡 中 ， 远 程 地 址 选择 “下 列 他 地 址 ”， 单 击 “ 添 加 ”按钮 。 


图 9-67 ”允许 安全 通信 图 9-68 指定 作用 域 
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@ ”如 图 9-69 所 示 ， 添 加 10.7.10.125 和 10.7.10.56 两 个 地 址 ， 单 击 “ 确 定 ” 按 钮 。 
如 图 9-70 所 示 ， 右 击 “ 连 接 安全 规则 ”选项 ， 在 弹出 的 快捷 菜单 中 选择 “新 规则 ”命令 。 


一 一 一 一 一 
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图 9-69 指定 IP 地址 图 9-70 创建 连接 安全 规则 


@ 如 图 9-71 所 示 ， 在 “规则 类 型 ”界面 中 ， 选 中 “服务 器 到 服务 器 ” 单 选 按钮 ， 单 击 “ 下 一 步 ” 
按钮 。 

@ 如 图 9-72 所 示 ， 在 “终结 点 ”界面 中 ， 终 结 点 2 中 的 计算 机 下 选中 “下 列 人 P 地 址 ” 单 选 按钮 。 
单 击 “ 添 加 ”按钮 ， 添 加 10.7.10.125 和 10.7.10.56。 


图 9-71 “规则 类 型 ”界面 图 9-72 “终结 点 ”界面 
如 图 9-73 所 示 ， 在 “要 求 ”界面 中 ， 选 中 “入 站 和 出 站 连接 要 求 身份 验证 ” 单 选 按钮 ， 单 击 “ 下 
一 步 ”按钮 。 


如 图 9-74 所 示 ， 在 “身份 验证 方法 ”界面 中 ， 选 中 “ 自 定义 ”， 单 击 “ 自 定义 ”按钮 。 

在 自 定义 高 级 身份 验证 对 话 框 中 ， 选 中 “第 一 身份 验证 可 选 ” 复 选 框 ， 单 击 “ 添 加 ”按钮 。 
选中 “计算 机 (Kerberos v5)” 单 选 按钮 ， 单 击 “ 确 定 ” 按 钮 ， 如 图 9-75 所 示 。 

如 图 9-76 所 示 ， 再 次 单 击 “添加 ”按钮 ， 选 择 “ 预 共享 密 钥 ” 单 选 按钮 ， 单 击 “ 确 定 ”按钮 。 
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图 9-73 ”指定 要 求 图 9-74 “身份 验证 方法 ”对 话 框 


提示 : Kerberos 身份 验证 是 针对 域 中 计算 机 Sales 设置 的 ， 预 共享 密 钥 身份 验证 是 针对 WorkgroupServer 
设置 的 。 工 作 组 之 间 身 份 验证 要 么 使 用 计算 机 证 书 ， 要 么 使 用 预 共享 密 钥 。 


© 警告 :建议 不 要 将 第 一 身份 验证 和 第 二 身份 验证 都 配置 为 可 选 ， 否 则 ， 这 样 的 配置 等 同 于 关闭 身份 验证 . 


图 9-75 ”指定 身份 验证 方法 (一 ) 图 9-76 指定 身份 验证 方法 (二 ) 


如 图 9-77 所 示 ， 在 “配置 文件 ”界面 中 ， 只 选中 “ 域 ” 复 选 框 ， 单 击 “ 下 一 步 ” 按 钮 。 

如 图 9-78 所 示 ， 在 “名 称 ” 界 面 中 ， 输 入 “RDP 连接 安全 规则 ”， 单 击 “ 完 成 ”按钮 。 

以 管理 员 身 份 登录 Sales, 选择 “开始 ”一 “运行 ”命令 , 在 打开 的 “运行 ”对 话 框 中 , 输入 wfmsc， 
打开 高 级 Windows 防火 墙 。 

如 图 9-79 所 示 ， 单 击 “ 出 站 规则 ”， 单 击 “ 新 规则 ”按钮 。 

如 图 9-80 所 示 ， 在 “规则 类 型 ”界面 中 ， 选 中 “ 自 定义 ” 单 选 按钮 ， 单 击 “ 下 一 步 ” 按 钮 。 


Se 88e 
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图 9-79 ”新建 出 站 规则 图 9-80 ”定义 规则 类 型 


四 ”如 图 9-81 所 示 ， 在 “程序 ”界面 中 ， 选 中 “所 有 程序 ” 单 选 按钮 ， 单 击 “ 下 一 步 ” 按 钮 。 
多 如 图 9-82 所 示 ， 在 “协议 和 端口 ”界面 中 ， 协 议 类 型 选择 TCP， 远 程 端口 输入 3389， 单 击 “ 下 
一 步 ”按钮 。 
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图 9-81 指定 程序 图 9-82 ”指定 协议 和 端口 
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四 如 图 9-83 所 示 ， 在 “作用 域 ”界面 中 ， 添 加 10.7.10.40， 单 击 “ 下 一 步 ”按钮 。 
轩 ”如 图 9-84 所 示 ， 在 “操作 ”界面 中 ， 选 中 “只 允许 安全 连接 ” 单 选 按 钮 ， 选 中 “要 求 加 密 连接 ” 
复 选 框 ， 单 击 “ 下 一 步 ”按钮 。 
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图 9-83 ”指定 作用 域 图 9-84 ”指定 操作 


加“ 如 图 9-85 所 示 ， 在 出 现 的 “计算 机 ”界面 中 ， 单 击 “ 下 一 步 ” 按钮 。 
因 “如 图 9-86 所 示 ， 在 出 现 的 “名 称 ”界面 中 ， 输 入 规则 名 ， 单 击 “ 完 成 ”按钮 。 


图 9-85 指定 计算 机 图 9-86 ”指定 规则 名 称 


加 ”如 图 9-87 所 示 ， 创 建 连接 安全 规则 。 在 “规则 类 型 ”界面 中 ， 选 中 “服务 器 到 服务 器 ” 单 选 按钮 ， 
单 击 “ 下 一 步 ”按钮 。 

灸 ”如 图 9-88 所 示 ， 在 “终结 点 ”界面 中 ， 输 入 10.7.10.40， 单 击 “ 下 一 步 ”按钮 。 

图 ”如 图 9-89 所 示 ， 在 “要 求 ”界面 中 ， 选 中 “入 站 和 出 站 连接 要 求 身份 验证 ” 单 选 按钮 ， 单 击 “ 下 
一 步 ”按钮 。 

国 ”如 图 9-90 所 示 ， 在 “身份 验证 方法 ”界面 中 ， 选 中 “高 级 ” 单 选 按钮 ， 单 击 “ 自 定义 ”按钮 。 

多 ”如 图 9-91 所 示 ， 在 自 定义 高 级 身份 验证 对 话 框 中 ， 选 中 “第 一 身份 验证 可 选 ” 复 选 框 ， 单 击 “ 添 
加 ”按钮 。 选 中 “计算 机 (Kerberos v5)” 单 选 按钮 ， 单 击 “确定 ”按钮 。 
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多” 如 图 9-92 所 示 ， 在 “配置 文件 ”界面 中 ， 只 选中 “ 域 ” 复 选 框 ， 单 击 “ 下 一 步 ” 按 钮 。 


图 9-91 指定 身份 验证 方法 (二 ) 图 9-92 指定 配置 文件 
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留 ” 如 图 9-93 所 示 ， 在 “名 称 ” 界 面 中 ， 输 入 名 称 ， 单 击 “ 完 成 ”按钮 。 
国 ”如 图 9-94 所 示 ， 选 择 “开始 ”一 “运行 ”命令 ， 在 打开 的 “运行 ”对 话 框 中 ， 输 入 mstsc， 打 开 
远程 桌面 客户 端 ， 输 入 Research， 单 击 “ 连 接 ” 按 钮 。 使 用 Kerberos 身份 验证 能 够 成 功 。 


EEC 


图 9-93 输入 名 称 图 9-94 测试 规则 


国 在 WorkgroupServer 上 ， 参 照 在 Sales 上 的 配置 。 配 置 高 级 Windows 防火 墙 ， 创 建 到 Research 
计算 机 的 出 站 规则 ， 再 创建 连接 安全 规则 ， 身 份 验证 选择 “ 预 共 享 密 钥 ”， 如 图 9-95 所 示 。 


me ee Yow We oom ek 


we 
| DD 9 i 


医 aml ram 1 mm 下 


EE pr 


图 9-95 ”设置 身份 验证 方法 


9.6.6 示例 : 监视 加 密 通信 

监视 节点 显示 有 关 当 前 所 连接 的 计算 机 (本 地 计算 机 或 远程 计算 机 ) 的 信息 。 如 果 使 用 管理 单元 来 管理 组 
策略 对 象 而 不 是 本 地 计算 机 ， 则 不 会 出 现 该 节点 。 

确保 Sales 计算 机 和 WorkgroupServer 计算 机 使 用 远程 桌面 连接 到 Research 计算 机 ， 在 Research 计 
算 机 上 ， 打 开 高 级 安全 防火 墙 ， 依 次 展开 “监视 ”一 “安全 关联 ”一 “ 主 模式 ”节点 ， 可 以 看 到 两 个 加 密 
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的 连接 ， 如 图 9-96 所 示 。 


9.6.7 配置 IPSec 加 密 和 身份 验证 的 方法 


通常 情况 下 使 用 默认 的 数据 加 密 和 完整 性 算法 最 好 ， 你 也 可 以 指定 自 定义 的 加 密 和 完整 性 算法 。 如 果 
使 用 自 定义 的 数据 完整 性 和 加 密 算法 ， 一 定 要 确保 通信 两 端的 完整 性 和 加 密 算法 一 致 。 
Q@@ 如 图 9-97 所 示 ， 右 击 “ 本 地 计算 机 上 的 高 级 安全 Windows 防火 墙 ”， 在 弹出 的 快捷 菜单 中 选择 
“属性 ”命令 。 
@ ”如 图 9-98 所 示 ， 在 “IPSec 设置 ”选项 卡 中 ， 单 击 “ 自 定义 ”按钮 。 


图 9-97 设置 IPSec 身份 验证 方法 (一 ) 图 9-98 设置 IPSec 身份 验证 方法 (二 ) 


@ 如 图 9-99 所 示 ， 在 “ 密 钥 交 换 ” 选 项 区 域 中 ， 选 中 “高 级 ” 单 选 按钮 ， 单 击 “ 自 定义 ”按钮 。 


[3341 


第 9 章 Windows Server 2008 安全 策略 


图 如 图 9-100 所 示 ， 在 出 现 的 “ 自 定义 高 级 密 钥 交换 设置 ”对 话 框 中 ， 可 以 指定 加 密 算 法 以 及 密 钥 
生存 期 。 


图 9-99 设置 密 钥 交换 图 9-100 ”设置 密 钥 生存 期 


回 在 图 9-99 所 示 的 “数据 保护 ”选项 区 域 中 ， 选 中 “高 级 ” 单 选 按 钮 ， 单 击 “ 自 定义 ”按钮 ， 可 以 
指定 完整 性 和 加 密 算法 ， 如 图 9-101 所 示 。 


图 9-101 ”指定 完整 性 和 加 密 算法 


9.7 创建 软件 限制 策略 


软件 限制 策略 是 Windows XP 和 Windows Server 2003, Windows Server 2008 和 Vista 操作 系统 中 
的 新 功能 。 软 件 限 制 策略 提供 了 一 种 体制 ， 用 于 指定 允许 执行 哪些 程序 以 及 不 允许 执行 哪些 程序 。 

它们 提供 了 一 套 策略 驱动 机 制 ， 用 于 指定 允许 执行 哪些 程序 以 及 不 允许 执行 哪些 程序 。 软 件 限制 策略 
可 以 帮助 组 织 免 遭 恶意 代码 的 攻击 。 也 就 是 说 ， 软 件 限 制 策略 针对 病毒 、 特 洛 伊 木马 和 其 他 类 型 的 恶意 代 
码 提供 了 另 一 层 防护 。 
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虽然 软件 限制 策略 是 增强 计算 机 安全 的 重要 工具 ， 但 它们 不 能 代替 其 他 安全 措施 ， 如 防 病毒 程序 、 防 
火 墙 和 严格 的 访问 控制 列表 。 


9.7.1 示例 : 创建 软件 限制 策略 


如 图 9-102 所 示 ， 右 击 “ 软 件 限制 策略 ”， 在 弹出 的 快捷 菜单 中 选择 “创建 软件 限制 策略 ”命令 。 
如 图 9-103 所 示 ， 单 击 “安全 级 别 ” 选 项 ， 可 以 更 改 默认 的 安全 级 别 。 此 时 ， 可 以 看 到 默认 安全 
级 别 是 不 受 限 的 。 
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图 9-102 设置 软件 限制 策略 图 9-103 ”默认 不 受 限 
图 如 图 9-104 所 示 ， 软 件 限 制 策略 规则 包括 证 书 规则 、 路 径 规则 、 哈 希 规则 及 Internet 区 域 规则 。 


图 9-104 软件 限制 规则 


1. 证 书 规则 


软件 限制 策略 可 以 通过 其 签名 证 书 来 标识 文件 。 证 书 规则 不 能 应 用 到 带 有 .exe 或 .dll 扩展 名 的 文 
件 ， 但 可 以 应 用 到 脚本 和 Windows 安装 程序 包 。 可 以 创建 标识 软件 的 证 书 ， 然 后 根据 安全 级 别 的 设置 ， 
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决定 是 否 人 允许 软 件 运行 。 

2. 路 径 规则 

路 径 规 则 通过 程序 的 文件 路 径 对 其 进行 标识 。 由 于 此 规则 按 路 径 指定 ， 所 以 程序 发 生 移动 后 路 径 规则 
将 失效 。 路 径 规则 中 可 以 使 用 诸如 %programfiles% 或 %systemroot% 之 类 的 环境 变量 。 路 径 规则 也 支 
持 通配符 ， 所 支持 的 通配符 为 * 和 ?。 

3. 哈 希 ( 散 列 ) 规 则 

散 列 是 唯一 标识 程序 或 文件 的 一 系列 定 长 字 节 。 散 列 是 按 散 列 算法 算出 来 的 。 软 件 限 制 策略 可 以 用 
SHA-1( 安 全 散 列 算 法 ) 和 MD5 散 列 算法 根据 文件 的 散 列 对 其 进行 标识 。 重 命名 的 文件 或 移动 到 其 他 文件 
夹 的 文件 将 产生 同样 的 散 列 。 

例如 ， 可 以 创建 散 列 规则 并 将 安全 级 别 设 为 “不 允许 的 ”， 以 防止 用 户 运行 某 些 文件 。 文 件 可 以 被 重 
命名 或 移 到 其 他 位 置 并 且 仍 然 产生 相同 的 散 列 。 但 是 ， 对 文件 的 任何 自 改 都 将 更 改 其 散 列 值 并 允许 其 绕 过 
限制 。 软 件 限制 策略 将 只 识别 那些 已 用 软件 限制 策略 计算 过 的 散 列 。 

4. Internet 区 域 规则 

区 域 规则 只 适用 于 Windows 安装 程序 包 。 区 域 规则 可 以 标识 那些 来 自 Internet Explorer 指定 区 域 
的 软件 。 这 些 区 域 是 Internet、 本 地 计算 机 、 本 地 Intranet、 受 限 站 点 和 可 信 站 点 。 


9.7.2 ”指定 软件 限制 策略 的 软件 类 型 


以 上 规则 所 影响 的 文件 类 型 为 “指派 的 文件 类 型 ”中 列 出 的 那些 类 型 。 系 统 存在 一 个 由 所 有 规则 共享 
的 指定 文件 类 型 的 列表 。 如 图 9-105 所 示 ， 默 认 情况 下 列表 中 的 文件 类 型 包括 : ADE、ADP、BAS、BAT、 
CHM、CMD、COM、CPL、CRT、EXE、HLP、HTA、INF、INS、ISP、LNK、MDB、MDE、MSC、 
MSI、MSP、MST、OCX、PCD、PIF、REG、SCR、SHS、URL、VB 及 WSC。 

所 以 对 于 正常 的 非 可 执行 的 文件 ， 例 如 TXT JPG GIF， 这 些 是 不 受 影响 的 。 如 果 你 认为 还 有 哪些 扩展 
的 文件 有 威胁 ， 也 可 以 将 其 扩展 加 入 这 里 ; 或 者 你 认为 哪些 扩展 无 威胁 ， 也 可 以 将 其 删除 。 
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图 9-105 ”指定 软件 限制 策略 扩展 名 
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@ 系统 管理 之 道 


9.7.3 示例 : 配置 软件 限制 策略 


1. 目标 

禁止 运行 计算 器 软件 。 

于 “禁止 E:\shared 目录 下 的 程序 运行 。 
2. 步骤 


Q@@ 如 图 9-106 所 示 ， 选 择 “ 开 始 ” 一 “程序 ”一 “附件 ”命令 ， 右 击 “ 计 算 器 ”， 在 弹出 的 快捷 
菜单 中 选择 “属性 ”命令 。 
@@ 如 图 9-107 所 示 ， 右 击 “ 目 标 ” 文 本 框 ， 复 制 计算 器 对 应 的 路 径 。 


| mm em we ww Te Al mod pmp 
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图 9-106 查看 计算 器 属性 图 9-107 复制 计算 器 路 径 


图 如 图 9-108 所 示 ， 右 击 “ 其 他 规则 ”选项 ， 在 弹出 的 快捷 菜单 中 选择 “新 建 哈 希 规则 ”命令 。 
@ 如 图 9-109 所 示 ， 在 “新 建 哈 希 规则 ”对 话 框 中 ， 单 击 “ 浏 览 ”按钮 。 


图 9-108 选择 新 建 哈 希 规则 图 9-109 创建 新 规则 
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回 如 图 9-110 所 示 ， 在“ 打开” 对话 框 中 ， 按 CtrltV 组 合 键 将 刚才 复制 的 计算 器 的 名 复制 下 来 ， 单 
击 “ 打 开 ” 按 钮 。 
如 图 9-111 所 示 ， 安 全 级 别 设置 成 “不 允许 的 ”， 单 击 “ 确 定 ” 按 钮 。 


图 9-110 ”指定 程序 图 9-111 设置 安全 规则 
@ ”如 图 9-112 所 示 ， 右 击 “ 其 他 规则 ”选项 ， 在 弹出 的 快捷 菜单 中 选择 “新 建 路 径 规 则 ”命令 。 
如 图 9-113 所 示 ， 在 “新 建 路 径 规则 ”对 话 框 中 ， 输 入 路 径 ， 安 全 级 别 选中 “不 允许 的 ”， 单 击 
“确定 ”按钮 。 
@ 重启 计算 机 。 软 件 限制 策略 重启 计算 机 后 生效 。 


Er 


图 9-112 ”选择 新 建 路 径 规则 图 9-113 ”指定 路 径 和 规则 
如 图 9-114 所 示 ， 单 击 “ 计 算 器 ”软件 和 E:\shared 目录 下 的 程序 ， 提 示 此 程序 被 组 策略 阻止 。 


© 注意 ; 如 果 程序 有 多 个 版 本 ， 每 个 版 本 的 代码 都 不 一 样 ， 算 出 来 的 哈 希 值 也 不 一 样 。 使 用 哈 希 规则 控制 
程序 运行 ， 需 要 针对 同一 个 程序 每 个 版 本 配置 软件 限制 策略 。 
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图 9-114 ”测试 软件 限制 策略 


9.7.4 ”导出 导入 安全 策略 


如 图 9-115 所 示 ， 可 以 将 安全 策略 导出 ， 在 其 他 计算 机 上 导入 。 也 可 以 将 导出 本 地 安全 策略 作为 策略 
备份 。 
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图 9-115 导出 导入 策略 


9.8 ”使 用 本 地 组 策略 配置 系统 安全 


组 策略 可 以 控制 计算 机 和 用 户 的 行为 。 以 下 将 介绍 与 安全 相关 的 本 地 组 策略 设置 。 本 地 组 策略 在 
Windows XP、Windows Server 2003、Vista 及 Windows Server 2008 中 都 可 以 设置 。 
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9.8.1 关闭 自动 播放 


现在 越 来 越 多 的 病毒 利用 系统 的 自动 播放 功能 来 进行 传播 ， 如 果 关 闭 了 系统 的 自动 播放 ， 也 就 相当 于 
招 断 了 病毒 木马 的 一 条 传播 路 径 。 


名 选择 “开始 ”一 “运行 ”命令 ， 在 打开 的 “运行 ”对 话 框 中 ， 输 入 gpeditmsc， 打 开本 地 组 策略 
编辑 器 。 

@ 如 图 9-116 所 示 ， 依 次 展开 “本 地 计算 机 策略 ”一 “计算 机 配置 ”一 “管理 模板 ”一 “Windows 
组 件 ” 一 “自动 播放 策略 ”节点 ， 双 击 “ 关 闭 自动 播放 ”选项 。 

@ 在 “关闭 自动 播放 属性 ”对 话 框 中 ， 选 中 “已 启用 ” 单 选 按钮 ， 按 图 9-116 配置 ， 单 击 “ 下 一 个 
设置 ”按钮 。 

@ 如 图 9-117 所 示 ， 在 出 现 的 “不 设置 “始终 执行 此 操作 ” 复 选 框 属性 ”对 话 框 中 ， 选 中 “已 启用 ” 
单 选 按钮 ， 单 击 “ 下 一 个 设置 ”按钮 。 


“i : 


图 9-116 关闭 自动 播放 图 9-117 不 显示 始终 执行 此 操作 


@ 如 图 9-118 所 示 ， 自 动 运行 的 默认 自动 运行 行为 选择 “不 执行 任何 自动 运行 命令 ”， 单 击 “ 确 定 ” 
按钮 。 


图 9-118 不 执行 任何 自动 运行 命令 
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9.8.2 ”禁止 用 户 使 用 注册 表 编 辑 工具 


禁止 用 户 使 用 注册 表 编 辑 工具 ， 能 够 防止 用 户 更 改 系统 注册 表 。 

@@ 选择 “开始 ”一 “运行 ”命令 ， 在 打开 的 “运行 ”对 话 框 中 ， 输 入 gpeditmsc， 可 以 打开 本 地 组 
策略 编辑 器 。 

回 如 图 9-119 所 示 ， 依 次 展开 “本 地 计算 机 策略 ”一 “用 户 配置 ”一 “管理 模板 ”一 “系统 ”节点 ， 
双击 “阻止 访问 注册 表 编 辑 工具 ”选项 ， 选 中 “已 启用 ” 单 选 按钮 ， 单 击 “ 确 定 ” 按 钮 。 

图 如 图 9-120 所 示 ， 选 择 “ 开 始 ” 一 “运行 ”命令 ， 在 打开 的 “运行 ”对 话 框 中 ， 输 入 regedit， 单 
击 “ 确 定 ”按钮 ， 提 示 注 册 表 编辑 已 被 管理 员 禁 用 。 


TIETIPTT 一 一 ET 


EE 


L < 
EEC 一 


图 9-119 ”禁止 使 用 注册 表 编 辑 工具 图 9-120 ”注册 表 编辑 工具 被 禁用 


9.8.3 ”禁止 用 户 运 行 特定 程序 


防止 Windows 运行 在 此 设置 中 指定 的 程序 。 

如 果 启 用 此 设置 ， 则 用 户 无 法 运行 已 添加 到 不 允许 的 应 用 程序 列表 的 程序 。 

此 设置 仅 阻止 用 户 运行 由 Windows 资源 管理 器 进程 启动 的 程序 。 它 不 会 阻止 用 户 运行 由 系统 进程 或 
其 他 进程 启动 的 程序 ， 如 任务 管理 器 。 另 外 ， 如 果 允 许 用 户 使 用 命令 提示 符 (Cmd.exe)， 则 此 设置 不 会 阻 
止 用 户 在 命令 窗口 中 启动 不 允许 他 们 使 用 Windows 资源 管理 器 启动 的 程序 。 注 意 : 若 要 创建 不 允许 的 应 
日 程序 列表 , 应 依次 单 击 “ 显示 ”和 ”添加 ”按钮 , 然后 输入 应 用 程序 的 可 执行 文件 名 称 (例如 , Winword.exe、 
Poledit.exe 和 Powerpnt.exe). 
如 图 9-121 所 示 ， 依 次 展开 “本 地 计算 机 策略 ”一 “用 户 配置 ”一 “管理 模板 ”一 “系统 ”节点 ， 双 
击 “ 不 要 运行 指定 的 Windows 应 用 程序 ”选项 ， 选 中 “已 启用 ” 单 选 按钮 ， 依 次 单 击 “ 显 示 ” 和 “添加 ” 
按钮 ， 然 后 输入 mspaint.exe， 单 击 “ 确 定 ” 按 钮 。 


© 注意 ; 此 设置 只 是 根据 程序 的 名 称 进行 限制 ， 如 果 用 户 更 改 应 用 程序 的 名 称 ， 此 设置 将 不 能 控制 此 应 
用 程序 。 
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SAD uve Taal 


图 9-121 ”禁止 用 户 运行 特定 程序 


9.8.4 ”禁止 恶意 程序 “不 请 自 来 ” 


在 Windows Server 2008 系统 环境 中 使 用 下 浏览 器 上 网 浏览 网 页 内 容 时 , 时 常会 有 一 些 恶意 程序 不 请 
自 来 ， 偷 偷 下 载 保存 到 本 地 计算 机 硬盘 中 ， 这 样 不 但 会 白白 浪费 宝贵 的 硬盘 空间 资源 ， 而 且 也 会 给 本 地 计 
算 机 系统 的 安全 带 来 不 少 麻烦 。 为 了 让 Windows Server 2008 系统 更 加 安全 ， 往 往 需要 借助 专业 的 软件 工 
具 才 能 禁止 应 用 程序 随意 下 载 ， 很 显然 , 这 样 操作 不 但 麻烦 而 且 比 较 累 人 。 其 实 , 在 Windows Server 2008 
系统 环境 中 ， 只 需 简单 地 设置 一 下 系统 组 策略 参数 ， 就 能 禁止 恶意 程序 自动 下 载 保存 到 本 地 计算 机 硬盘 中 
了 ， 下 面 就 是 具体 的 设置 步骤 。 

外” 以 特权 账号 进入 Windows Server 2008 系统 环境 ， 选 择 “ 开 始 ” 一 “运行 ”命令 ， 在 系统 “运行 ” 

文本 框 中 执行 gpedit.msc 命令 ， 打 开本 地 计算 机 的 组 策略 编辑 窗口 。 

@ 如 图 9-122 所 示 ， 在 组 策略 编辑 窗口 左 侧 区 域 展 开 “ 计 算 机 配置 ”一 “管理 模板 ”一 “Windows 

组 件 ” 一 Internet Explorer 一 “安全 功能 ”一 “限制 文件 下 载 ” 节 点 双击“ 限制 文件 下 载 ” 子 项 
下 面 的 “Internet Explorer 进程 ”组 策略 选项 ， 在 其 属性 设置 窗口 中 ， 选 中 “已 启用 ” 单 选 按钮 ， 
再 单 击 “ 确 定 ” 按 钮 ， 退 出 组 策略 属性 设置 窗口 。 


9-122 ”限制 文件 下 载 


这 样 一 来 , 我 们 就 能 成 功 启 用 限制 mternet Explorer 进程 下 载 文件 的 策略 设置 , 日 后 Windows Server 
2008 系统 就 会 自动 弹出 阻止 mternet Explorer 进程 的 非 用 户 初始 化 的 文件 下 载 提示 , 单 击 提示 对 话 框 中 的 
“确定 ”按钮 ， 恶 意 程 序 就 不 会 通过 下 浏览 器 窗口 随意 下 载 保存 到 本 地 计算 机 硬盘 中 了 。 


9.8.5 ”跟踪 用 户 登录 情况 


一 般 情况 下 ， 用 户 对 自己 的 计算 机 使 用 情况 都 比较 熟悉 ， 比 如 你 会 记得 上 一 次 登录 系统 的 大 概 时 间 。 
如 果 用 户 还 能 让 Windows Server 2008 记录 下 登录 信息 ， 然 后 在 每 次 登录 系统 时 ， 将 前 后 两 次 的 时 间 比 较 
一 下 ， 如 果 发 现时 间 不 一 致 ， 这 就 说 明 有 人 曾经 试图 非法 登录 你 的 账户 。 

此 策略 设置 控制 系统 是 否 向 用 户 显示 有 关 以 前 的 登录 和 登录 失败 次 数 的 信息 。 

对 于 Windows Server 2008 功能 级 别 域 中 的 本 地 用 户 账户 和 域 用 户 账户 ， 如 果 启 用 了 此 设置 ， 将 在 该 
户 登 录 后 出 现 一 则 消息 ， 显 示 该 用 户 上 次 成 功 登 录 的 日 期 和 时 间 、 该 用 户 名 上 次 尝试 登录 而 未 成 功 的 日 
和 时 间 以 及 自 该 用 户 上 次 成 功 登 录 以 来 未 成 功 登录 的 次 数 。 用 户 必 须 确认 该 消息 ， 然 后 才能 登录 到 
Microsoft Windows 桌面 。 

@ 选择 “开始 ”一 “运行 ”命令 ， 在 打开 的 “运行 ”对 话 框 中 ， 输 入 gpedit.msc， 打 开 组 策略 编 
辑 器 。 


回 ”依次 展开 “计算 机 配置 ”一 “管理 模板 ”一 “Windows 组 件 ” 一 “Windows 登录 选项 ”节点 ， 
然后 在 右 侧 窗 格 中 双击 “在 用 户 登 录 期 间 显示 有 关 以 前 登录 的 信息 ”， 然 后 在 弹出 的 对 话 框 中 选 

中 “已 启用 ” 单 选 按钮 ， 最 后 单 击 “ 确 定 ” 按 钮 ， 如 图 9-123 所 示 。 

@ 注销 ， 以 管理 员 的 账户 登录 ， 输 入 一 次 错误 的 密码 ， 然 后 输入 正确 的 密码 ， 将 会 出 现 登录 不 成 功 

的 信息 ， 如 图 9-124 所 示 。 


BWorkgroupSever -VMware WoristatonAcEEdton Sy 
He Edl view YM Team ACE Windows Help 


日 咱 同名 全 中 守信 加 条 | 因 固 回 回 | 回回 图 


Wh Windows Server 2008 


百色 四 骨折 站 天 


图 9-123 ”设置 显示 以 前 登录 信息 图 9-124 显示 以 前 登录 的 信息 
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本 章 将 重点 介绍 如 何 实现 部 署 打 印 机 与 管理 打印 
服务 器 。 

在 域 环 境 中 部 署 打 印 机 ， 这 样 域 用 户 登 录 后 ， 就 
能 自动 连接 到 该 部 门 使 用 的 打印 机 。 配 置 Internet 打 
印 机 ， 即 远程 用 户 使 用 TCP 的 80 端口 将 打印 作业 发 
送 到 公司 服务 器 ， 这 样 可 以 穿 透 大 多 数 防 火 墙 。 在 
Windows Server Core 上 安装 打印 服务 和 角色， 使 用 图 
形 界 面 管理 Windows Server Core 上 的 打印 机 。 


全 关键 词 


理解 打印 过 程 
掌握 如 何 安装 共享 打印 机 
设置 打印 机 属性 
掌握 如 何 管理 打印 机 访问 
使 用 组 策略 部 署 打印 机 
发 布 打 印 机 到 活动 目录 
掌握 如 何 设置 打印 机 优先 权 
握 如 何 计划 打印 机 的 可 用 性 
掌握 如 何 配置 打印 池 
配置 Internet 打印 
配置 Windows Server core 作为 
打印 服务 器 


@ Windows Server 2008 下 王 民 二 二 三、 
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10.1 Windows Server 2008 打印 概述 


用 户 使 用 Windows Server 2008 家 族 中 的 产品 ， 可 以 在 整个 网 络 范围 内 共享 打印 资源 。 各 种 计算 
机 和 操作 系统 上 的 客户 端 , 可 以 通过 Internet 将 打印 作业 发 送 到 运行 Windows Server 2008 家 族 
操作 系统 的 打印 服务 器 所 连接 的 本 地 打印 机 ， 或 者 发 送 到 使 用 内 置 或 外 置 网 卡 连接 到 网 络 或 其 他 
服务 器 的 打印 机 。 

Windows Server 2008 家 族 中 的 产品 支持 多 种 高 级 打印 功能 。 例 如 ， 无 论 运行 Windows 
Server 2008 家 族 操 作 系统 的 打印 服务 器 计算 机 位 于 网 络 中 的 哪个 位 置 , 管理 员 都 可 以 对 它 进行 管 
理 。 另 一 项 高 级 功能 是 , 客户 不 必 在 Windows XP 客户 端 计算 机 上 安装 打印 机 了 驱动 程序 就 可 以 使 
用 打印 机 。 当 客户 端 连接 运行 Windows Server 2008 家 族 操作 系统 的 打印 服务 器 计算 机 时 , 驱动 
程序 将 自动 下 载 。 

Windows Server 2008 家 族 中 的 产品 使 得 管理 员 更 加 容易 在 一 个 中 心 位 置 安装 网 路 打印 机 和 配置 
打印 资源 。 客 户 可 以 配置 运行 Microsoft Windows 95、Microsoft Windows 98 或 Microsoft Windows 
NT 操作 系统 的 客户 端 计算 机 来 访问 网 络 打印 设备 ， 以 实现 打印 。 

Windows Server 2008 家 族 的 打印 增强 特性 有 以 下 几 点 。 

打印 设置 。 

在 群集 的 所 有 节点 上 安装 打印 机 驱动 程序 。 

打印 管理 。 

打印 机 文件 夹 。 

Internet 打印 。 

目录 服务 。 

标准 端口 监视 器 。 

。 打印 队列 监视 。 


打印 服务 器 就 是 专门 管理 网 络 打 印 机 的 计算 机 ， 打 印 服务 器 可 以 是 网 络 上 的 任何 一 台 计算 机 。 如 果 用 
户 添加 一 台 通过 网 络 适配器 直接 连接 到 网 络 的 打印 机 ， 则 可 以 采用 以 下 两 种 方法 打印 。 


古方 法 一 
不 使 用 打印 服务 器 ， 而 直接 将 打印 机 添加 到 每 个 用 户 的 计算 机 上 。 


使 


条 件 如 下 : 一 个 小 型 工作 组 网 络 仅 有 几 台 计算 机 和 一 台 直 接 与 网 络 相连 的 打印 机 。 网 络 上 的 用 户 


共享 该 打印 机 ， 每 个 用 户 都 将 打印 机 添加 到 自己 的 Printers and Faxes 文件 夹 中 ， 并 设置 各 自 的 驱动 程序 。 


该 配置 的 缺点 如 下 。 


用 户 不 知道 打印 机 的 真实 状态 ， 每 台 计 算 机 的 打印 队列 都 只 显示 各 自发 送 的 打印 作业 ， 用 户 不 能 
确定 自己 的 打印 作业 相对 于 其 他 计算 机 发 送 的 所 有 打印 作业 的 位 置 。 

卡 纸 或 纸 盒 无 纸 等 错误 消息 只 显示 在 当前 打印 作业 所 在 的 队列 上 。 

对 提交 打印 文档 的 所 有 处 理 任务 都 在 这 一 台 计 算 机 上 完成 。 


2. 方法 二 


先 将 打印 机 添加 到 打印 服务 器 上 ， 然 后 通过 打印 服务 器 将 每 个 用 户 连接 到 打印 机 。 让 一 台 运 行 
Windows Server 2008 家 族 操作 系统 的 计算 机 充当 打印 服务 器 ， 该 计算 机 将 添加 打印 机 ， 并 与 其 他 用 户 共 
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享 打印 机 。 

使 用 打印 服务 器 打印 具有 如 下 优点 。 

于 “打印 服务 器 可 以 管理 打印 机 驱动 程序 设置 。 

于 ”在 连接 打印 机 的 每 台 计算 机 上 都 会 显示 一 个 完整 的 打印 队列 ， 每 个 用 户 都 能 看 见 自己 的 打印 作业 
相对 于 其 他 等 待 打印 的 打印 作业 的 位 置 。 

于 由 于 错误 信息 会 出 现在 所 有 计算 机 上 ， 每 个 用 户 都 能 了 解 打印 机 的 真实 状态 。 

于 。” 某 些 处 理 任务 可 以 从 客户 端 计算 机 转移 到 打印 服务 器 上 进行 。 

于 ”可 有 一 个 日 志 ， 供 要 审核 打印 机 事件 的 管理 员 查 阅 。 

使 用 打印 服务 器 的 唯一 缺点 在 于 ， 它 需要 一 台 计 算 机 来 充当 打印 服务 器 。 但 是 ， 它 并 不 需要 一 台 专 用 

机 ; 通常 ， 打 印 服务 器 由 同时 执行 其 他 任务 的 服务 器 担任 。 


10.2 实战: 在 企业 配置 和 管理 打印 


任务 描述 

在 企业 环境 中 配置 和 管理 打印 机 。 

时。 DCServer 作为 域 控制 器 和 DNS 服务 器 ， 服 务 器 FileServer 作为 打印 服务 器 ， Sales 是 销售 部 门 
的 计算 机 。 

ProfileServer 作为 研发 部 门 的 打印 服务 器 。 

WangRS 是 销售 部 门 经 理 ， 在 Sales 计算 机 办 公 ， 使 用 FileServer 打印 服务 器 打印 日 常 文档 。 
ZhangJC 是 销售 部 门 员工 ， 也 使 用 FileServer 打印 服务 器 打印 日 常 文档 。 

WangBH 是 销售 部 门 的 驻 外 员工 ， 销 售 部 经 理 关注 销售 情况 ， 每 周 需要 将 销售 报告 使 用 企业 内 部 
的 FileServer 打印 服务 器 打印 出 来 。 

于 ”销售 人 员 经 常 带 着 Sales 笔记 本 出 差 在 外 地 ， 需 要 通过 Internet 打印 将 打印 作业 发 送 到 打印 服务 


器 FileServer。 
实战 环境 
实战 环境 如 图 10-1 所 示 。 
B 
DCServer 
加 
区 
ProfileServer 
每 Hp 
oo 
远程 用 户 ”通过 80 端 口 将 打印 作业 发 送 到 Flleserver 一 
打印 服务 器 http 打印 服务 器 


图 10-1 实战 环境 
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@ Windows Server 2008 下 于 工 王 三 二 


至。 DCServer 安装 了 Windows Server 2008 企业 版 操作 系统 。 

里 FileServer 安装 了 Windows Server 2008 企业 版 操作 系统 ， 能 够 通过 互联 网 访问 到 该 服务 器 。 
和 ”ProfileServer 安装 了 Windows Server 2008 企业 版 核心 。 

和 ”Sales 安装 了 Vista 操作 系统 。 


实战 目标 


a ”学 会 在 打印 服务 器 添加 本 地 打印 机 并 共享 打印 机 。 
”设置 打印 服务 器 属性 。 

授权 打印 服务 器 使 用 。 

设置 打印 池 。 

设置 打印 优先 级 。 

将 打印 机 发 布 到 活动 目录 。 

配置 Http 打印 。 


10.2.1 任务 1: 配置 打印 服务 器 


在 打印 服务 器 上 添加 本 地 打印 机 (Local Printer)。 
本 地 打印 机 实现 本 地 打印 ， 共 享 本 地 打印 机 后 网 络 中 的 计算 机 可 以 将 打印 作业 发 送 过 来 。 本 地 打印 机 
通过 使 用 LPT、USB 或 下 接口 来 连接 打印 设备 ， 如 图 10-2 所 示 。 


Print Server 


Print Device 


图 10-2 本 地 打印 机 接口 


本 地 打印 机 也 可 以 通过 使 用 耳 或 IPX 协 议 来 连接 到 网 络 打印 设备 ,这 样 的 打印 机 称 为 网 络 接口 打印 机 ， 
并 且 支持 即 插 即 用 。 
Q@ ”以 域 管理 员 账 户 登 录 FileServer， 如 图 10-3 所 示 ， 打 开 服务 器 管理 器 ， 单 击 “ 添 加 角色 ”按钮 ， 
打开 “添加 角色 向 导 ” 对 话 框 。 
@ “如 图 104 所 示 ， 在 “选择 服务 器 角色 ”界面 中 ， 选 中 “打印 服务 ” 复 选 框 ， 单 击 “ 下 一 步 ”按钮 。 


提示 : 使 用 Windows Vista 和 Windows Server 2008 中 的 打印 服务 ， 可 以 在 网 络 上 共享 打印 机 ， 而 且 可 
以 使 用 “打印 管理 ”Microsoft 管理 控制 台 (MMC) 管理 单元 集中 执行 打印 服务 器 和 网 络 打印 机 的 管理 任 
务 。 “打印 管理 ”可 以 帮助 用 户 监视 打印 队列 ， 并 在 打印 队列 停止 处 理 打印 作业 时 接收 通知 。 此外， 使 
用 该 服务 ， 还 可 以 使 用 组 策略 迁移 打印 服务 器 并 部 署 打 印 机 连接 。 


@ 如 图 10-5 所 示 ， 在 “选择 角色 服务 ”界面 中 ， 选 中 “打印 服务 器 ”、“LPD 服务 ”和 “Internet 
打印 ” 复 选 框 。 在 出 现 的 对 话 框 中 ， 单 击 “ 添 加 必要 的 角色 服务 ”按钮 ， 单 击 “ 下 一 步 ” 按 钮 。 
如 图 10-6 所 示 ， 在 “Web 服务 器 (IIS)” 界 面 中 ， 单 击 “ 下 一 步 ”按钮 。 

@ ”如 图 10-7 所 示 ， 在 “选择 角色 服务 ”界面 中 ， 保 持 默 认 设置 。 单 击 “ 下 一 步 ”按钮 。 

回 如 图 10-8 所 示 ， 在 “确认 安装 选择 ”界面 中 ， 单 击 “安装 ” 按 钮 。 
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图 10-7 选择 角色 服务 图 10-8 确认 安装 
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@ 系统 管理 之 首 
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安装 完成 后 ， 选 择 “ 开 始 ” 一 “程序 ”一 “管理 工具 ”一 “打印 管理 ”命令 。 

@ 如 图 10-9 所 示 ， 在 “打印 管理 ”窗口 中 右 击 FileServer( 本 机 )， 从 弹出 的 快捷 菜单 中 选择 “添加 
打印 机 ”命令 ， 将 打开 “网 络 打印 机 安装 向 导 ” 对 话 框 。 

如 图 10-10 所 示 ， 在 “打印 机 安装 ”界面 中 选中 “使 用 现 有 的 端口 添加 新 打印 机 ” 单 选 按钮 ， 选 
中 连接 打印 机 的 端口 。 


© 注意 ; 选择 在 网 络 中 搜索 打印 机 ， 实 质 上 是 连接 一 个 其 他 服务 器 已 经 共享 了 的 打印 机 。 选择 按 全 地 址 或 
主机 名 添加 TCP/IP 或 Web 服务 打印 ， 就 是 连接 网 络 接口 打印 机 。 


图 10-9 添加 打印 机 图 10-10 ”选择 端口 
@@ 如 图 10-11 所 示 ， 在 “打印 机 驱动 程序 ”界面 中 ， 选 中 “安装 新 驱动 程序 ” 单 选 按钮 ， 单 击 “ 下 
一 步 ” 按 钮 。 


@@ 如 图 10-12 所 示 ， 在 “打印 机 安装 ”界面 中 ， 选 择 一 个 厂商 并 选中 一 种 打印 机 型 号 ， 单 击 “ 下 一 
步 ”按钮 。 
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图 10-11 安装 新 驱动 图 10-12 选择 厂商 和 打印 机 类 型 
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注意 : 凡是 能 够 列 出 来 的 厂商 的 打印 机 设备 驱动 ， 都 支持 即 插 即 用 ， 只 要 将 打印 设备 接 好 ， 驱 动 会 自动 
安装 ， 不 需要 这 样 添加 ; 如 果 没 有 接 硬件 而 添加 驱动 ， 只 能 这 样 添加 。 


@@ 如 图 10-13 所 示 ， 在 “打印 机 名 称 和 共享 设置 ”界面 中 ， 输 入 打印 机 名 以 及 共享 名 称 ， 单 击 “下 
一 步 ”按钮 。 
名 ”如 图 10-14 所 示 ， 在 “找到 打印 机 ”界面 中 ， 单 击 “ 下 一 步 ”按钮 ， 完 成 驱动 安装 。 


图 10-13 共享 打印 机 图 10-14 ”完成 安装 打印 机 


10.2.2 任务 2: 设置 后 台 打印 文件 夹 的 位 置 


如 果 用 户 向 打印 服务 器 发 送 太 多 的 打印 作业 ， 打 印 服务 默认 存储 打印 作业 的 磁盘 空间 也 许 不 够 用 ， 这 
时 可 以 更 改 设置 后 台 打 印 文件 夹 的 位 置 。 

如 图 10-15 所 示 , 右 击 打印 服务 器 , 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 , 在 出 现 的 “打印 服务 器 属 
性 ”对 话 框 的 “高 级 ”选项 卡 中 ， 可 以 更 改 后 台 打印 文件 夹 位 置 。 


图 10-15 配置 后 台 打 印 文件 存放 位 置 


L3513 


10.2.3 任务 3: 使 用 网 络 打印 机 


在 Sales 计算 机 上 连接 打印 服务 器 FileServer 计算 机 上 的 共享 打印 机 。 

Q@ ”以 域 管 理 员 账 号 登录 到 Sales， 选 择 “开始 ”一 “设置 ”一 “打印 机 ”命令 ， 可 以 看 到 在 Sales 计 
算 机 上 可 用 的 打印 机 。 

@ 选择 “开始 ”一 “运行 ”命令 ， 在 打开 的 “运行 ”对 话 框 中 输入 “\\FileServer”， 如 图 10-16 
所 示 。 单 击 “ 确 定 ”按钮 。 

图 如 图 10-17 所 示 ， 可 以 看 到 FileServer 计算 机 上 共享 的 打印 机 。 右 击 共享 的 打印 机 ， 从 弹出 的 快 
捷 菜单 中 选择 “连接 ”命令 。 


et we eee ec ee 


OTTERILD 了 Dae EE :| 


图 10-16 访问 共享 的 打印 机 图 10-17 添加 网 络 打 印 机 
@ 如 图 10-18 所 示 ， 可 以 看 到 连接 的 网 络 打 印 机 。 
@ 如 图 10-19 所 示 ， 创 建 一 个 记事 本 文件 ， 选 择 “ 文 件 ” 一 “打印 ”命令 ， 在 出 现 的 “打印 ”对 话 
框 中 选中 连接 的 FileServer 上 的 打印 机 ， 单 击 “ 打 印 ” 按 钮 。 
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图 10-18 ”连接 的 网 络 打 印 机 图 10-19 使 用 网 络 打印 机 打印 
@” 如 图 10-20 所 示 ， 单 击 工具 栏 中 的 国 按 钮 ， 可 以 看 到 打印 作业 。 可 以 停止 、 暂停 或 取消 打印 作业 。 
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@ ”如 图 10-21 所 示 ， 在 文件 服务 器 上 ， 选 择 “ 开 始 ” 一 “设置 ”一 “打印 机 ”命令 。 双 击 FileServer 
Epson 可 以 看 到 所 有 发 过 来 的 打印 作业 。 
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图 10-20 ”管理 打印 作业 图 10-21 在 打印 服务 器 上 管理 打印 作业 


10.3 设置 打印 权限 


10.3.1 打印 机 权限 概述 


将 打印 机 安装 在 网 络 上 后 ， 系 统 会 为 它 指派 默认 的 打印 机 权限 ， 该 权限 允许 所 有 用 户 访问 打印 机 并 进 
行 打印 ， 也 允许 管理 员 选 择 组 来 对 打印 机 和 发 送 给 它 的 打印 文档 进行 管理 。 由 于 打印 机 可 用 于 网 络 上 的 所 
有 用 户 ， 因 此 可 能 需要 管理 员 通过 指派 特定 的 打印 机 权限 ， 来 限制 某 些 用 户 的 访问 权 。 例 如 ， 可 以 给 部 门 
中 所 有 无 管理 权 的 用 户 设置 Print 权限 ， 而 给 所 有 管理 人 员 设 置 Print 和 Manage Document 权限 。 这 样 ， 
所 有 用 户 和 管理 人 员 都 能 打印 文档 ， 但 管理 人 员 还 能 更 改 发 送 给 打印 机 的 任何 文档 的 打印 状态 。 
Windows 提供 了 以 下 三 种 等 级 的 打印 安全 权限 。 
“打印 (Print) 
使 用 打印 权限 ， 用 户 可 以 连接 到 打印 机 ， 并 将 文档 发 送 到 打印 机 。 在 默认 情况 下 ， 打 印 权限 将 指 
派 给 Everyone 组 中 的 所 有 成 员 。 
”管理 打印 机 (Manage Printers) 
使 用 管理 打印 机 权限 ， 用 户 可 以 执行 与 打印 权限 相关 联 的 任务 ， 并 且 具 有 对 打印 机 的 完全 管理 控 
制 权 。 用 户 可 以 暂停 和 重新 启动 打印 机 、 更 改 打印 后 台 处 理 程序 设置 、 共 享 打印 机 、 调 整 打印 机 
权限 ， 还 可 以 更 改 打印 机 属性 。 默 认 情 况 下 ， 管 理 打 印 机 权限 将 指派 给 Administrators 组 和 
Power Users 组 的 成 员 。 
”管理 文档 (Manage Documents) 
使 用 管理 文档 权限 ， 用 户 可 以 暂停 、 继 续 、 重 新 开始 和 取消 由 其 他 所 有 用 户 提交 的 文档 ， 还 可 以 
重新 安排 这 些 文档 的 顺序 。 但 是 ， 用 户 无 法 将 文档 发 送 到 打印 机 或 控制 打印 机 状态 。 默 认 情 况 下 ， 
管理 文档 权限 指派 给 Creator Owner 组 的 成 员 。 
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@ Windows Server 2008 下 所 芝 王 下 二 


当 用 户 被 指派 管理 文档 权限 时 ， 用 户 将 无 法 访问 当前 等 待 打印 的 现 有 文档 。 此 权限 只 应 用 于 在 该 
权限 被 指派 给 用 户 之 后 发 送 到 打印 机 的 文档 。 


注意 : 默认 情况 下 , Administrators 组 和 Power Users 组 的 成 员 拥有 完全 访问 权限 , 即 这 些 用 户 拥有 打印 、 
管理 文档 以 及 管理 打印 机 的 权限 。 


当 给 一 组 用 户 指派 了 多 个 权限 时 ， 将 应 用 限制 性 最 少 的 权限 。 但 是 ， 当 应 用 了 拒绝 (Deny) 权 限时 ， 它 
将 优先 于 其 他 任何 权限 。 如 果 用 户 对 打印 机 的 访问 被 拒绝 ,用 户 将 无 法 使 用 或 管理 打印 机 ， 或 者 更 改 任何 
权限 。 

Windows 将 打印 机 权限 指派 给 六 组 用 户 ， 这 些 组 包括 : 

”管理 员 (Administrators)。 

里 “创建 者 所 有 者 (Creator Owner)。 

于 “每 个 人 (Everyone)。 

”特权 用 户 (Power Users)。 

sm。 打印 操作 员 (Print Operators)。 

于 ”服务 器 操作 员 (Server Operators)。 

默认 情况 下 , 每 组 都 会 被 指派 打印 、 管 理 文档 和 管理 打印 机 权限 的 一 种 组 合 ， 如 表 10-1 所 示 ( 表 中 用 x 
表示 某 组 具有 相应 的 权限 )。 


表 10-1 用 户 组 权限 


组 管理 打印 机 
Administrators x 
Creator Owner 
Everyone 
Power Users x 
Print Operators x 
Server Operators x 


© 注意 ; Print Operators 和 Server Operators 组 仅 存 在 于 域 控制 器 。 


每 个 权限 都 由 一 组 允许 用 户 执行 特定 任务 的 特殊 权限 组 成 。 表 10-2 总 结 了 与 每 种 打印 安全 权限 关联 的 
访问 级 别 ( 表 中 用 X 表 示 与 某 任务 关联 的 访问 级 别 )。 
表 10-2 打印 安全 权限 关联 的 访问 级 别 
六 理 文档 (只 适用 于 文档 ) 管理 打印 机 


10.3.2 ”管理 访问 打印 机 


当 一 个 共享 打印 机 被 安装 到 网 络 上 时 ， 默 认 的 打印 机 权限 将 允许 所 有 的 用 户 可 以 访问 该 打印 机 并 进行 
打印 。 为 了 保证 安全 性 ， 管 理 员 可 以 选择 指定 的 用 户 组 来 管理 发 送 到 打印 机 的 文档 ， 可 以 选择 指定 的 用 户 
组 来 管理 打印 机 ， 也 可 以 明确 地 拒绝 指定 的 用 户 或 组 对 打印 机 的 访问 。 

管理 员 可 能 想 通 过 授予 明确 的 打印 机 权限 来 限制 一 些 用 户 对 打印 机 的 访问 。 例 如 ， 管 理 员 可 以 给 部 门 
中 所 有 无 管理 权 的 用 户 设置 Print 权限 ， 而 给 所 有 管理 人 员 设 置 Print 和 Manage Document 权限 。 这 样 ， 
所 有 用 户 和 管理 人 员 都 能 打印 文档 ， 但 只 有 管理 人 员 才 能 更 改 发 送 给 打印 机 的 任何 文档 的 打印 状态 。 

有 些 情况 下 ， 管 理 员 可 能 想 给 某 个 用 户 组 授予 访问 打印 机 的 权限 ， 但 同时 又 想 限 制 该 组 中 的 若干 成 员 
对 打印 机 的 访问 。 在 这 种 情况 下 , 管理 员 可 以 先 为 整个 用 户 组 授予 可 以 访问 打印 机 的 权限 (Allow 权限 )， 然 
后 再 为 该 组 中 指定 的 用 户 授予 拒绝 (Deny) 权 限 。 

管理 员 可 以 通过 以 下 步骤 来 为 管理 打印 机 访问 设置 权限 。 

如 图 10-22 所 示 ， 右 击 打印 机 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 。 在 打印 机 属性 对 话 框 的 “ 安 
全 ”选项 卡 中 ， 单 击 “ 添 加 ”按钮 可 以 给 用 户 授权 或 解除 授权 。 


© 注意 ; 要 查看 或 更 改 构成 打印 操作 、 管 理 打印 机 和 管理 文档 的 基本 权限 ， 单 击 “ 高 级 ”按钮 。 


图 10-22 设置 打印 权限 


10.4 ”管理 打印 机 


10.4.1 设置 打印 机 优先 权 


一 个 部 门 的 普通 员工 经 常 打印 一 些 文档 ， 但 不 着 总 用， 而 领导 经 常 打印 一 些 短小 但 是 急 着 用 的 文件 。 
如 果 普 通 员 工 已 经 向 打印 机 发 送 了 打印 任务 ， 如 何 让 领导 的 文件 优先 打印 呢 ? 
在 打印 机 之 间 设 置 优先 权 可 以 优化 到 同一 台 打印 设备 的 文档 打印 ， 即 可 以 加 速 需要 立即 打印 的 文档 。 
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@ Windows Server 2008 下 王 亏 二 二 三、 


高 优先 级 的 用 户 发 送 来 的 文档 可 以 越过 等 候 打 印 的 低 优先 级 的 文档 队列 。 如 果 两 个 逻辑 打印 机 都 与 同一 打 
印 机 相关 联 , 则 Windows Server 2008 家 族 操 作 系 统 首先 将 优先 级 最 高 的 文档 发 送 到 该 打印 机 。 打印机 优 
先 权 的 示意 图 如 图 10-23 所 示 。 


淖 渣 
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图 10-23 打印 机 优先 权 


图 10-23 中 ，Group1l 的 用 户 以 优先 级 1( 最 低 优先 级 ) 向 打印 服务 器 发 送 文 档 Word1.doc，Group2 的 
户 以 优先 级 99( 最 高 优先 级 ) 向 打印 服务 器 发 送 文档 Word2.doc。 由 于 Groupl 用 户 的 优先 级 比 Group2 
户 的 优先 级 低 ， 因 而 Group2 用 户 发 送 的 文档 Word2.doc 将 被 优先 打印 。 

要 利用 打印 优先 级 系统 ， 需 为 同一 打印 机 创建 多 个 逻辑 打印 机 。 应 为 每 个 逻辑 打印 机 指派 不 同 的 优先 
等 级 ， 然 后 创建 与 每 个 逻辑 打印 机 相关 的 用 户 组 。 例 如，Groupl1 中 的 用 户 拥有 访问 优先 级 为 1 的 打印 机 
的 权利 ，Group2 中 的 用 户 拥 有 访问 优先 级 为 2 的 打印 机 的 权利 ， 依 此 类 推 。 
领导 可 以 将 重要 的 文件 发 送 到 优先 级 高 的 打印 机 ， 普 通 员工 将 打印 作业 发 送 到 优先 级 低 的 打印 机 。 为 
了 在 逻辑 打印 机 之 间 设 置 优先 级 ， 管 理 员 必 须 完成 以 下 工作 。 


将 两 个 或 多 个 逻辑 打印 机 指向 同一 台 打印 设备 ， 即 相同 的 打印 端口 。 这 个 端口 既 可 以 是 打印 服务 
器 上 的 物理 端口 ， 也 可 以 是 指向 一 台 打 印 设备 网 络 接口 的 端口 。 

为 连接 到 打印 设备 的 每 一 台风 辑 打印 机 设置 优先 权 ， 然 后 让 不 同 的 用 户 组 指向 不 同 的 逻辑 打印 
机 。 将 高 优先 级 的 文件 发 送 到 拥有 高 优先 权 的 打印 机 ， 将 低 优先 级 的 文件 发 送 到 拥有 低 优先 权 的 
打印 机 。 

优先 级 高 的 打印 机 只 授权 领导 有 打印 权 ， 普 通 员 工 只 能 够 使 用 优先 级 低 的 打印 机 。 


可 以 通过 以 下 步骤 添加 一 个 只 允许 Managers 组 使 用 的 具有 高 优先 级 的 打印 机 。 


如 图 10-24 所 示 ， 右 击 打印 机 ， 从 弹出 的 快捷 菜单 中 选择 “添加 打印 机 ”命令 。 选 择 上 一 次 添加 
Epson 打印 机 使 用 的 相同 的 端口 。 

如 图 10-25 所 示 ， 在 “打印 机 驱动 程序 ”界面 中 ， 选 中 “使 用 计算 机 上 现 有 的 打印 机 驱动 程序 ” 
单 选 按钮 ， 从 下 拉 列 表 中 选择 Epson AL-2600， 单 击 “ 下 一 步 ” 按 钮 。 

如 图 10-26 所 示 ， 指 定 打印 机 名 和 共享 名 称 ， 单 击 “ 下 一 步 ”按钮 ， 完 成 安装 。 

如 图 10-27 所 示 ， 右 击 刚才 添加 的 打印 机 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 。 在 打开 的 打 
印 机 属性 对 话 框 的 “高 级 ”选项 卡 中 ， 将 优先 级 设置 成 99。 

如 图 10-28 所 示 ， 切 换 到 “安全 ”选项 卡 ， 删 除 everyone 的 打印 权限 ， 添 加 Managers 组 的 打印 
权限 。 
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图 10-28 设置 打印 权限 
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10.4.2 ”计划 备用 打印 时 间 


使 打印 机 得 到 最 大 限度 利用 的 一 个 有 效 方法 是 为 长 文档 或 特定 类 型 的 文档 安排 轮流 打印 时 间 。 管 理 员 
可 以 在 以 下 情况 下 考虑 是 否 采用 计划 备用 打印 时 间 。 
m= ”情况 1: 如 果 白 天 打印 量 很 大 ， 可 通过 将 长 文档 路 由 到 只 在 下 班 时 间 段 打印 的 打印 机 ， 推 迟 这 些 
文档 的 打印 。 打 印 后 台 处 理 程序 持续 接收 文档 ， 但 是 在 指定 的 启动 时 间 到 来 之 前 并 不 将 这 些 文档 
发 给 目的 地 打印 机 。 

= ”情况 2: 如 果 不 专 门 指定 一 个 实际 的 打印 设备 轮流 在 下 班 时 间 打 印 (因为 这 样 并 没有 使 资源 得 到 充 
分 地 利用 ), 可 以 为 相同 打印 设备 设置 不 同 的 逻辑 打印 机 并 给 每 一 个 逻辑 打印 机 配置 不 同 的 可 用 时 
间 段 。 例如, 一 台 打 印 机 可 以 从 下 午 6:00 到 早上 6:00 使 用 , 而 另 一 个 全 天 24 小 时 可 用 。 然后 ， 

可 以 通知 用 户 将 长 文档 发 送 到 只 有 在 下 班 时 间 段 才 可 用 的 打印 机 ， 而 将 所 有 其 他 文档 发 送 到 全 天 

可 用 的 打印 机 。 

管理 员 在 计划 备用 打印 时 间 时 ， 应 考虑 以 下 建议 。 

”使 用 安全 设置 来 限制 在 可 用 时 间 段 内 访问 打印 机 的 用 户 。 管 理 员 可 能 想 限 制 一 个 用 户 组 只 有 在 指 
定 的 时 间 段 内 才 可 以 使 用 打印 机 ， 而 允许 另 一 个 用 户 组 可 以 随时 使 用 打印 机 。 为 了 实现 这 个 目的 
管理 员 必须 创建 两 台 指 向 同一 台 打 印 设备 的 逻辑 打印 机 ， 并 且 管 理 员 必须 为 随时 使 用 打印 机 的 用 
户 组 设置 额外 的 安全 性 。 

于 ”告知 用 户 打印 机 什么 时 候 可 用 ,什么 时 候 不 可 用 。 许 多 用 户 习惯 于 打印 机 在 任何 时 候 都 是 可 用 的 ， 
因此 当 他 们 使 用 有 时 间 计 划 限 制 的 打印 机 时 ， 这 些 用 户 可 能 会 尝试 重新 打印 他 们 的 打印 作业 ， 还 
有 可 能 会 打 电 话 寻求 帮助 。 通 过 告知 用 户 打印 机 什么 时 候 可 用 ， 什 么 时 候 不 可 用 ， 可 以 帮助 用 户 
正确 使 用 有 时 间 计划 限制 的 打印 机 。 

”配置 两 台 指 向 同一 打印 设备 的 打印 机 ， 并 且 分 别 为 这 两 台 打 印 机 设置 不 同 的 计划 备用 打印 时 间 。 

确保 磁盘 空间 足够 大 ， 以 便 能 够 存储 等 待 打印 的 后 全 打印 作业 。 


计划 备用 打印 时 间 


@ 打开 “打印 管理 ”窗口 。 
@ 右 击 想 要 配置 的 打印 机 ， 从 弹出 的 快捷 菜单 中 选择 “属性 ”命令 。 
图 如 图 10-29 所 示 ， 在 打开 的 打印 机 属性 对 话 框 中 切换 到 “高 级 ”选项 卡 。 
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10-29 设置 打印 机 时 间 
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@ 选中 “使 用 时 间 从 ” 单 选 按钮 。 


@ 设置 可 以 使 用 打印 机 的 时 间 段 ， 输 入 开始 和 终止 时 间 ， 例 如 6:00 到 18:00。 


10.4.3 ”设置 打印 机 池 


用 户 可 以 通过 创建 打印 机 池 ( 或 打印 池 ) 将 打印 作业 自动 分 发 到 下 一 台 可 用 的 打印 机 。 打 印 池 是 一 台风 辑 
打印 机 ， 它 通过 打印 服务 器 的 多 个 端口 连接 到 多 台 打印 机 ， 处 于 空闲 状 态 的 打印 机 便 可 以 接收 发 送 到 逻辑 
打印 机 的 下 一 份 文档 。 这 对 于 打印 量 很 大 的 网 络 非常 有 用 ， 因 为 它 可 以 减少 用 户 等 待 文档 打印 的 时 间 。 使 
用 打印 池 还 可 以 简化 管理 ， 管 理 员 可 以 从 服务 器 上 的 同一 台 逻 辑 打印 机 来 管理 多 台 打 印 机 。 

如 图 10-30 所 示 ， 在 打印 服务 器 上 连接 着 3 个 相同 的 打印 设备 ， 打 印 服务 器 的 打印 机 指向 连接 这 三 个 
打印 设备 的 硬件 端口 。 


ProfileServer 
打印 服务 器 


Ess.com 


图 10-30 ”实战 环境 

使 用 创建 的 打印 池 ， 用 户 在 打印 文档 时 不 再 需要 查找 哪 一 台 打 印 机 目前 可 用 。 风 辑 打 印 机 将 检查 可 用 
的 端口 ， 并 按 端口 的 添加 顺序 将 文档 发 送 到 各 个 端口 。 应 首先 添加 连接 到 快速 打印 机 上 的 端口 ， 这 样 可 以 
保证 发 送 到 打印 机 的 文档 在 被 分 配给 打印 池 中 的 慢 速 打印 机 前 以 最 快 的 速度 打印 。 

用 户 在 设置 打印 池 之 前 ， 应 考虑 以 下 两 点 。 

时。 池 中 的 所 有 打印 机 必须 使 用 同样 的 驱动 程序 。 

于。 由 于 用 户 不 知道 发 出 的 文档 由 池 中 的 哪 一 台 打 印 机 打印 ， 因 此 应 将 池 中 的 所 有 打印 机 放置 在 同一 

地 点 。 

管理 员 可 以 通过 以 下 操作 来 启用 打印 池 。 

如 图 10-31 所 示 ， 在 “打印 管理 ”窗口 中 ， 右 击 打算 启用 打印 池 的 打印 机 ， 在 弹出 的 快捷 菜单 中 选择 
“属性 ”命令 。 在 打开 的 打印 机 属性 对 话 框 的 “端口 ”选项 卡 中 ， 选 中 “启用 打印 机 池 ” 复 选 框 ， 选 择 连 
接 打 印 设 备 的 端口 。 单 击 “ 确 定 ” 按 钮 。 
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图 10-31 设置 打印 池 


10.4.4 支持 多 种 客户 端 


如 果 运 行 不 同 版 本 Windows 的 用 户 共享 此 打印 机 ， 则 可 能 安装 其 他 驱动 程序 。 这 样 ， 当 用 户 连接 到 
共享 打印 机 时 就 不 需要 查找 打印 驱动 程序 。 

如 图 10-32 所 示 ， 右 击 打印 机 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 在 打开 的 打印 机 属性 对 话 框 
的 “共享 ”选项 卡 中 ， 单 击 “ 其 他 驱动 程序 ”按钮 。 在 打开 的 对 话 框 中 选中 x64 和 Itanium 复 选 框 ， 单 击 
“确定 ”按钮 ， 浏 览 到 驱动 盘 ， 添 加 x64 和 Itanium 驱动 。 


图 10-32 支持 其 他 客户 端 


10.5 ”在 域 环境 中 部 署 打 印 机 


本 节 介 绍 如 何在 域 环境 中 部 署 打印 机 ， 如 何 使 用 组 策略 部 署 打印 机 。 域 用 户 一 登录 计算 机 就 已 经 连接 
了 网 络 管理 员 部 署 的 网 络 打 印 机 。 
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10.5.1 使 用 组 策略 自动 部 署 打印 机 


例如 ， 让 销售 部 的 用 户 一 登录 Sales 计算 机 ， 就 自动 连接 打印 服务 器 上 的 FileServer Epson 打印 机 。 

以 下 步骤 将 使 用 组 策略 发 布 打印 机 ， 首 先 在 DCServer 上 为 销售 部 创建 一 个 发 布 打印 机 的 组 策略 ， 将 
打印 服务 器 FileServer 的 打印 机 部 署 给 销售 部 的 用 户 。 

四 ”以 域 管理 员 的 身份 登录 DCServer。 

@ 选择 “开始 ”一 “运行 ”命令 ， 在 打开 的 “运行 ”对 话 框 中 输入 gpmcmsc， 单 击 “ 确 定 ”按钮 。 
图 如 图 10-33 所 示 ， 选 择 “ 在 这 个 域 中 创建 GPO 并 在 此 处 连接 ”命令 ， 在 出 现 的 对 话 框 中 ， 输 入 组 
@ 


策略 名 称 ， 单 击 “确定 ”按钮 。 
如 图 10-34 所 示 ， 在 FileServer 计算 机 上 右 击 打印 机 ， 从 弹出 的 快捷 菜单 中 选择 “使 用 组 策略 部 


署 ” 命 令 。 


图 10-33 ”创建 组 策略 图 10-34 ”使 用 组 策略 部 署 打印 机 
回 如 图 10-35 所 示 ， 在 出 现 的 “浏览 组 策略 对 象 ”对 话 框 中 ， 单 击 “ 浏 览 ” 按 钮 ， 在 出 现 的 “浏览 
组 策略 对 象 ”对 话 框 中 ， 选 中 deployPrinter 组 策略 ， 单 击 “ 确 定 ” 按 钮 。 
如 图 10-36 所 示 ， 在 出 现 的 “使 用 组 策略 部 署 ” 对 话 框 中 ， 选 中 “应 用 此 GPO 的 用 户 (每 位 用 户 )” 
复 选 框 ， 单 击 “ 添 加 ”按钮 。 
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图 10-35 选择 部 署 打印 机 的 组 策略 图 10-36 将 打印 机 指定 到 用 户 
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@ Windows Server 2008 BY a 
提示 : 选中 “应 用 此 GPO 的 用 户 (每 位 用 户 )” 复 选 框 ， 只 要 是 销售 部 门 的 用 户 登录 到 域 中 任何 计算 机 时 ， 


”自动 添加 打印 机 。 如 果 选 中 “应 用 此 GPO 的 计算 机 (每 台 计算 机 )” 复 选 框 ， 销 售 部 门 的 计算 机 只 要 一 开 
机 启动 就 自动 连接 打印 机 . 


@ ”如 图 10-37 所 示 ， 在 Sales 计算 机 上 删除 以 上 任务 添加 的 FileServer 上 的 打印 机 。 
如 图 10-38 所 示 ， 注 销 当前 用 户 ， 使 用 销售 部 的 用 户 WangRS 登录 。 单 击 打印 机 ， 可 以 看 到 已 经 


自动 为 用 户 连 接 好 了 网 络 打印 机 。 
如 图 10-39 所 示 ， 使 用 域 管理 员 登 录 ， 可 以 发 现 并 没有 自动 为 其 连接 网 络 打印 机 ， 因 为 域 管理 员 


账户 不 属于 销售 部 门 ， 登 录 时 不 应 用 部 署 打印 机 的 组 策略 。 


ER 


图 10-37 ”删除 打印 机 图 10-38 ”使 用 组 策略 部 署 的 打印 机 
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使 用 sciministrator 登 录 ， 没有 向 动 
连 且 打印 大 务 器 上 的 打印 由。 
为 admaustrnmior 依 户 丰 在 铀 全 部 


的 全 可 单位 中 


图 10-39 ”测试 组 策略 部 署 的 打印 机 


10.5.2 将 打印 机 发 布 到 活动 目录 中 
为 了 使 域 中 的 用 户 方便 查找 打印 机 ， 管 理 员 可 以 将 打印 服务 器 上 的 打印 机 列 在 活动 目录 中 。 域 用 户 可 
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以 方便 地 搜索 列 在 活动 目录 中 的 打印 机 。 


名 如 图 10-40 所 示 ， 在 打印 服务 器 上 ， 打 开 “ 打 印 管理 ”窗口 ， 右 击 打印 机 ， 从 弹出 的 快捷 菜单 中 
选择 “在 目录 中 列 出 ”命令 。 
@@ 在 DCServer 上 ， 选择 “开始 ”一 “运行 ”命令 ,在 “运行 ”对 话 框 中 输入 dsa.msc， 打 开 活 动 目 


录 管 理工 具 。 
图 如 图 10-41 所 示 ， 右 击 ess.com， 从 弹出 的 快捷 菜单 中 选择 “新 建 ”一 “组 织 单位 ”命令 。 
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图 10-40 在 目录 中 列 出 打印 机 图 10-41 创建 组 织 单位 


@ 如 图 10-42 所 示 ， 在 出 现 的 “新 建 对 象 ”对 话 框 中 ， 输 入 组 织 单位 名 称 PrintersOU， 单 击 “ 确 
定 ” 按 钮 。 


@ 如 图 10-43 所 示 ， 选 择 “ 查 看 ”一 “用 户 、 联 系 人 、 组 和 计算 机 作为 容器 ”命令 。 
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图 10-42 输入 组 织 单位 的 名 称 图 10-43 对象 作为 容器 


如 图 10-44 所 示 ， 展 开 ess.com 一 serverOU 一 FILESERVER 节点 ， 右 击 打印 机 ， 从 弹出 的 快捷 菜 
单 中 选择 “移动 ”命令 。 
@ 如 图 10-45 所 示 ， 在 出 现 的 “移动 ”对 话 框 中 ， 选 中 printersOU， 单 击 “ 确 定 ” 按 钮 。 
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图 10-44 ”移动 打印 机 (一 ) 图 10-45 移动 打印 机 (二 ) 


可 以 看 到 打印 机 已 经 被 移动 到 printersOU。 

如 图 10-46 所 示 ， 在 Sales 计算 机 上 ， 选 择 “ 开 始 ”一 “搜索 ”一 “查找 打印 机 ”命令 ,在 出 现 的 
“查找 打印 机 ”对 话 框 中 ， 单 击 “开始 查找 ”按钮 ， 可 以 列 出 发 布 在 活动 目录 的 打印 机 。 右 击 打 
印 机 ， 从 弹出 的 快捷 菜单 中 选择 “连接 ”命令 ， 则 可 以 连接 到 打印 服务 器 上 的 打印 机 。 

TT TT 
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图 10-46 搜索 活动 目录 中 的 打印 机 


10.6 配置 Internet 打印 


”使 用 Internet 打印 机 ， 远 程 用 户 可 以 通过 TCP 的 80 端口 将 打印 作业 发 送 到 打印 服务 器 。 但 必须 
完成 以 下 操作 。 
。 客户 必须 是 域 中 的 计算 机 。 
。 ”必须 使 用 域 管理 员 在 客户 端 添加 Internet 打印 机 。 
。 添加 的 Internet 打印 机 在 客户 端 对 任何 用 户 可 用 。 
。 ”在 连接 Internet 打印 机 时 ， 打 印 服务 器 的 打印 机 硬件 必须 连接 好 。 
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。 ”确保 用 户 在 企业 内 部 连接 时 用 的 URL 在 Internet 上 也 能 解析 到 打印 服务 器 。 

”安装 Internet 打印 ， 如 图 10-47 所 示 ， 打 开 “ 添 加 角色 向 导 ” 对 话 框 的 “选择 角色 服务 ”界面 ， 
单 击 “ 打 印 服务 ”下 面 的 “角色 服务 ”， 选 中 “打印 服务 器 ”和 “Internet 打印 ” 复 选 框 ， 完 成 
安装 。 


图 10-47 安装 Internet 打印 


检查 打印 服务 器 是 否 已 经 配置 好 了 对 Internet 打印 的 支持 。 

Q@ 在 FileServer 服务 器 上 ， 选 择 “ 开 始 ” 一 “程序 ”一 “管理 工具 ”一 “Internet 信息 服务 (IIS) 管 
理 器 ”命令 。 

@ 如 图 10-48 所 示 ， 展开“ 网 站 ”一 Default Web Site 一 Printers 节点 ， 单 击 “ 浏 览 *:80(http)” 按 钮 。 

@ 如 图 10-49 所 示 , 在 浏览 器 中 能 够 看 到 打印 服务 器 上 共享 的 打印 机 。 说 明 打 印 服务 器 支持 Internet 
打印 。 


oe 
DD 半 间 Dig 总 本 划 | 宫 


图 10-48 浏览 Printers 目录 图 10-49 查看 打印 服务 器 上 的 打印 机 
@ 在 Sales 计算 机 上 ， 以 域 管理 员 账户 登录 。 
回 选择 “开始 ”一 “设置 ”一 “控制 面板 ”一 “程序 和 功能 ”命令 ， 在 出 现 的 对 话 框 中 单 击 “ 打 开 
或 关闭 Windows 功能 ”按钮 。 
如 图 10-50 所 示 ， 在 出 现 的 对 话 框 中 ， 确 保 “Internet 打印 客户 端 ” 复 选 框 已 经 选中 。 


© 注意 ，Vista 默认 已 经 安装 了 Intemet 打印 客户 端 。Window Server 2008 必须 安装 Intemet 客户 端 功 能 才能 
连接 Internet 打印 机 。 
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@ 如 图 10-51 所 示 ， 右 击 下 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 。 在 “Internet 属性 ”对 话 框 
的 “安全 ”选项 卡 中 ， 单 击 “ 可 信 站 点 ”按钮 ， 将 安全 级 别 调 至 最 低 ， 单 击 “ 站 点 ”按钮 。 
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图 10-50 安装 Internet 打印 客户 端 


图 10-51 将 打印 服务 器 的 URL 添加 到 可 信 站 点 


如 图 10-51 所 示 ， 在 “可 信 站 点 ”对 话 框 中 输入 http://fileserver.ess.com， 单 击 “ 添 加 ”按钮 。 


© 注意 ;因为 要 通过 网 站 下 载 打印 驱动 ， 所 以 需要 将 可 信 站 点 的 安全 级 别 降 至 最 低 ， 并 将 打印 机 的 网 址 汪 


加 到 受信 站 点 。 


@ 如 图 10-52 所 示 ， 选 择 “ 开 始 ” 一 “设置 ”一 “打印 机 ”命令 ， 单 击 “ 添 加 打印 机 ”按钮 ， 在 出 
现 的 添加 打印 机 对 话 框 中 ， 单 击 “ 添 加 网 络 、 无 线 或 Bluetooth 打印 机 ”按钮 。 
如 图 10-53 所 示 ， 在 出 现 的 对 话 框 中 ， 单 击 “ 我 需要 的 打印 机 不 在 列表 中 ”按钮 。 
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10-52 ”添加 网 络 打印 机 


时 且 四 怠 仿 信和 多 入 和 | 国 站 回合 | 站 回国 


[ed 


正在 名 厅 可 攻 89 打 印 机 


。 -一 -一 EC 


我 大 要 的 打印 机 不 在 列表 中 (R) 


10-53 ”搜索 打印 机 


@ 如 图 10-54 所 示 ， 在 出 现 的 对 话 框 中 ， 单 击 “ 按 名 称 选择 共享 打印 机 ” 单 选 按钮 ， 并 在 下 面 的 文 
本 框 中 输入 http://fileserver.ess.com/printers/hp/.printer， 单 击 “ 下 一 步 ”按钮 。 
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注意 : 该 URL 中 ，fileserver.ess.com 是 打印 服务 器 的 域名 ， 该 域名 在 Internet 上 必须 能 够 解析 到 打印 服务 
器 的 下 地 址 。hp 是 打印 服务 器 上 打印 机 共享 的 名 称 。 其 他 都 是 固定 格式 。 


@@ 如 图 10-55 所 示 ， 单 击 “ 从 磁盘 安装 ”按钮 。 在 出 现 的 对 话 框 中 单 击 “ 浏 览 ” 按 钮 ， 定 位 到 驱动 
程序 的 文件 夹 。 
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图 10-54 输入 打印 机 名 称 图 10-55 选择 打印 机 型 号 和 驱动 


四 如 图 10-56 所 示 ， 选 中 HP LaserJet 1000 打印 机 ， 单 击 “确定 ”按钮 。 
罗 如 图 10-57 所 示 ， 在 出 现 的 打印 机 名 称 对话 框 中 单 击 “ 下 一 步 ” 按 钮 ， 完 成 打印 机 的 添加 。 
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图 10-56 选择 打印 机 图 10-57 打印 机 名 称 


如 图 10-58 所 示 ， 可 以 看 到 已 经 添加 了 一 个 网 络 打印 机 。 发 送 一 个 打印 作业 给 打印 服务 器 。 

如 图 10-59 所 示 ， 输 入 http://fileserver.ess.com/printers。 单 击 hp 可 以 看 到 与 该 打印 机 相关 的 打 
印 作 业 。 

四 ”如 图 10-60 所 示 ， 单 击 “文档 列表 ”， 可 以 看 到 打印 作业 ， 可 以 暂停 选中 的 作业 ， 或 者 取消 、 继 
续 打印 作业 。 
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10-58 ”连接 的 Internet 打印 机 
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图 10-60 ”管理 打印 作业 
10.7 Windows Server Core 作为 打印 服务 器 


Windows Server Core 是 Windows Server 2008 的 一 种 安装 模式 ， 其 特点 就 是 安装 完 以 后 没有 a 
界面 ， 登 录 界 面 与 普通 模式 相同 。 但 登录 以 后 ， 你 会 发 现 桌 面 上 没有 开始 菜单 ， 也 没有 任务 栏 ， 只 有 一 
命令 行 窗口 。 这 种 模式 的 效率 更 高 ， 安 全 性 更 好 。 下 面 介绍 如 何在 这 种 模式 下 配置 打印 服务 器 。 


10.7.1 在 Windows Server Core 上 安装 打印 服务 器 角色 


Q@ 在 装 有 Windows Server Core 的 ProfileServer 上 ， 以 域 管理 员 身 份 登录 。 
加 如 图 10-61 所 示 ， 输 入 oclist， 可 以 看 到 服务 器 已 经 安装 和 没有 安装 的 服务 器 角色 。 
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图 如 图 10-62 所 示 ， 输 入 start /w ocsetup Printing-ServerCore-Role， 在 出 现 的 提示 框 中 单 击 “ 是 ” 
按钮 ， 重 启 系统 。 


EEC 


图 10-61 查看 角色 图 10-62 安装 打印 服务 器 角色 


@ 如 图 10-63 所 示 ， 输 入 netsh firewall add portopening tcp 445 PrinterPort， 打 开 防火 墙 TCP 的 
445 的 端口 。 


© 注意 : 打开 防火 墙 445 端口 ， 可 以 多 许 在 FileServer 计算 机 使 用 打印 管理 工具 管理 Server Core 的 打印 服务 。 


图 10-63 ”打开 防火 墙 端口 


10.7.2 在 Windows Server Core 上 添加 打印 机 驱动 


将 HP 的 打印 设备 连接 到 物理 计算 机 。 
”如 图 10-64 所 示 , 选 择 VM 一 Removable Devices 一 USB Devices 一 Hewlett-Packard Printer(Port2) 
命令 ， 这 样 由 ProfileServe 虚拟 接 通 USB 接口 的 打印 机 。 


[03691 


@ Windows Server 2008 3 a 


be 
EEC 


10-64 ”虚拟 机 USB 接口 


回 如 图 10-65 所 示 ， 提 示 发 现 新 硬件 ， 单 击 “ 查 找 并 安装 驱动 程序 软件 (推荐 )” 按 钮 。 


@ 如 图 10-66 所 示 ， 单 击 “ 不 联机 搜索 ”按钮 。 
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图 10-65 发现 新 硬件 
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回 如 图 10-68 所 示 ， 单 击 “浏览 计 算术 


图 10-66 不 联机 搜索 
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10-67 ”查找 驱动 
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图 10-68 查找 驱动 (高 级 ) 
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如 图 10-69 所 示 ， 输 入 驱动 程序 位 置 ， 单 击 “ 下 一 步 ” 按 钮 。 


加 ”如 图 10-70 所 示 ， 提 示 安 装 成 功 。 
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图 10-69 浏览 驱动 位 置 


10.7.3 ”使 用 图 形 化 管理 工具 管理 打印 机 


图 10-70 安装 成 功 


使 用 命令 行 管理 Windows Server Core 上 的 打印 机 很 不 方便 , 可 以 使 用 图 形 的 管理 工具 管理 Windows 


Server Core 上 的 打印 机 。 


@ 在 RileServer 上， 选择“ 开始” 一 “程序 ”一 “管理 工具 ”一 “打印 管理 ”命令 。 
@ 如 图 10-71 所 示 ， 右 击 打印 服务 器 ， 在 弹出 的 快捷 菜单 中 选择 “添加 /删除 服务 器 ”命令 。 
加 如 图 10-72 所 示 ， 在 出 现 的 “添加 /删除 服务 器 ”对 话 框 中 ， 输 入 Profileserver， 单 击 “ 添 加 到 列 


表 ” 按 钮 ， 然 后 单 击 “ 确 定 ”按钮 。 
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图 10-71 添加 服务 器 
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图 10-72 输入 打印 服务 器 名 称 
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@ ”如 图 10-73 所 示 ， 右 击 profileserver 下 的 打印 机 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 。 
回 如 图 10-74 所 示 ， 在 出 现 的 安装 驱动 对 话 框 中 ， 单 击 “ 是 ”按钮 。 
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图 10-73 配置 服务 器 属性 图 10-74 安装 驱动 
如 图 10-75 所 示 ， 选 中 hp LaserJet 1000 型 号 打印 机 ， 单 击 “ 下 一 步 ” 按 钮 。 


@ 如 图 10-76 所 和 示 ， 在 出 现 的 打印 机 属性 对 话 框 的 “共享 ”选项 卡 中 ， 选 中 “共享 这 台 打印 机 ” 复 


选 框 ， 输 入 共享 名 。 
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图 10-75 选择 打印 机 型 号 图 10-76 共享 打印 机 


© 寺 ， 使 用 打印 管理 可 以 管理 其 他 打印 服务 器 上 的 打印 机 属性 ， 比 如 安全 性 设置 、 端 口 设置 、 列 在 目 
录 中 等 。 


如 图 10-77 所 示 , 选择 “开始 ”一 “运行 ”命令 , 在 出 现 的 “运行 ”对 话 框 中 输入 “\\profileserver”。 
可 以 看 到 ProfileServer 共享 的 打印 机 。 
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图 10-77 访问 Windows Server Core 共享 的 打印 机 


10.7.4 删除 打印 机 


可 以 使 用 图 形 界面 管理 工具 删除 Windows Server Core 打印 服务 器 的 打印 机 。 


四 ”如 图 10-78 所 示 ， 右 击 打印 机 ， 从 弹出 的 快捷 菜单 中 选择 “删除 ”命令 。 
@@ 如 图 10-79 所 示 ， 单 击 驱 动 程序 ， 发 现 驱 动 程序 还 是 保留 在 Windows Server Core 打印 服务 器 
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图 10-78 删除 打印 机 图 10-79 驱动 没有 删除 


10.7.5 添加 打印 机 


如 果 Windows Server Core 已 经 有 打印 机 驱动 了 ， 可 以 使 用 图 形 界面 管理 工具 为 Windows Server 
Core 的 打印 服务 器 添加 打印 机 。 
在 Windows Server Core 打印 机 上 必须 连接 好 打印 设备 。 
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@ 系统 管 


名 如 图 10-80 所 示 ， 右 击 打印 机 ， 在 弹出 的 快捷 菜单 中 选择 “添加 打印 机 ”命令 。 
加 如 图 10-81 所 示 ， 在 出 现 的 对 话 框 中 ， 选 中 “使 用 现 有 的 端口 添加 打印 机 ” 单 选 按钮 ， 选 定 USB 
虚拟 端口 ， 单 击 “ 下 一 步 ” 按 钮 。 


图 10-80 添加 打印 机 图 10-81 选择 端口 


图 如 图 10-82 所 示 ， 选 中 “使 用 计算 机 上 现 有 的 打印 机 驱动 程序 ” 单 选 按钮 ， 单 击 “ 下 一 步 ”按钮 。 
@ 如 图 10-83 所 示 ， 输 入 共享 名 和 打印 机 名 ， 单 击 “ 下 一 步 ” 按 钮 。 


图 10-82 ”使 用 现 有 驱动 图 10-83 输入 打印 机 名 称 


© 注意 ; 如 果 打 印 设备 没有 连接 好 ， 会 提示 出 现 一 个 错误 ， 但 是 打印 机 驱动 已 经 添加 成 功 。 
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无 论文 件 服务 器 、FTP 服务 器 还 是 数据 库 服务 器 ， 
都 需要 磁盘 能 够 有 好 的 性 能 来 快速 响应 大 量 并 发 用 户 
的 请 求 ， 这 就 要 求 磁盘 有 很 好 的 IO 吞吐 量 。 

重要 的 文件 服务 器 还 需要 有 磁盘 元 余 ， 以 避免 磁 
得 的 硬件 故障 造成 数据 丢失 或 不 可 访问 。 

在 Windows Server 2000、Windows Server 2003 
以 及 Windows Server 2008 中 均 提 供 了 软 RAID 的 功 
能 ,可 以 在 没有 RAID 卡 的 服务 器 上 通过 创建 软 RAID 


实现 较 好 的 读 取 和 写 入 功能 ， 以 及 容错 功能 。 

在 动态 磁 桩 可 以 创建 带 区 卷 、 镜 像 卷 以 及 RAID-5 
卷 。 其 中 RAID-0 和 RAID-5 有 容错 能 力 ，RAID-0 有 
很 好 的 读 写 性 能 。 


全 关键 词 


初始 化 磁 可 

实现 磁盘 分 区 

查看 和 更 新 磁盘 属性 

更 改 驱动 器 号 和 路 径 

实现 磁盘 的 转换 

管理 动态 卷 

动态 磁盘 灾难 恢复 

远程 管理 Windows Server Core 
的 磁盘 

动态 磁 可 迁移 


本 章 将 重点 介绍 如 何 实现 磁盘 管理 ， 具 体内 容 包括 : 磁盘 管理 的 基本 概念 、 磁 盘 管 理 项 目 ， 如 何 管理 
驱动 器 号 和 路 径 ， 如 何 实现 磁盘 的 转换 ， 如 何 创建 带 区 卷 、 镜 像 卷 、RAID-5 和 跨 区 卷 及 如 何 修复 失败 的 镜 
像 卷 和 RAID-5， 远 程 管理 Windows Server Core 的 磁盘 ， 将 动态 磁盘 迁移 到 其 他 服务 器 上 。 


11.1 本 章 环 境 


本 章 学 习 环境 如 图 11-1 所 示 。 

和 ”DCServer 是 Ess.com 域 中 的 域 控制 器 ， 安 装 Windows Server 2008 企业 版 操作 系统 。 

和 ”FileServer 是 Ess.com 域 中 的 文件 服务 器 ， 有 4 块 硬盘 ， 安 装 Windows Server 2008 企业 版 操作 
系统 。 

和 ”Research 是 Ess.com 域 中 的 备用 文件 服务 器 ， 安 装 Windows Server 2008 企业 版 操作 系统 。 

和 ”ProfileServer 是 Ess.com 域 中 的 文件 服务 器 ， 有 4 块 硬盘 ， 安 装 Windows Server Core 系统 。 


加 
DCServer 


下 天 
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EE 


ProfileServer 


Research 


回 
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FileServer 


图 11-1 本 章 实战 环境 
11.2 磁盘 管理 


可 以 使 用 Windows XP Professional 和 Windows Server 2008 家 族 操作 系统 中 的 Disk Management 来 
执行 与 磁盘 相关 的 任务 ， 如 创建 和 格式 化 分 区 和 卷 、 分 配 驱 动 器 号 。 当 我 们 在 计算 机 中 安装 一 块 新 磁盘 时 ， 
Windows Server 2008 将 这 块 磁盘 作为 一 块 基本 磁盘 来 进行 配置 。 基 本 磁盘 在 Windows Server 2008 中 是 
默认 的 存储 介质 。 

磁盘 管理 程序 是 用 于 管理 硬盘 、 卷 或 它们 所 包含 的 分 区 的 系统 实用 工具 。 利 用 磁盘 管理 ， 可 以 初始 化 
磁极、 创建 卷 ， 使 用 FAT、FAT32 或 NTFS 文件 系统 格式 化 卷 以 及 创建 容错 磁盘 系统 。 磁 盘 管 理 可 以 在 
不 需要 重新 启动 系统 或 中 断 用 户 的 情况 下 执行 多 数 与 磁盘 相关 的 任务 ; 大 多 数 配 置 更 改 将 立即 生效 。 

在 Windows Server 2008 中 的 Disk Management 具有 以 下 几 个 新 特点 。 
”基本 和 动态 磁盘 存储 。 基 本 磁盘 包含 有 基本 卷 ， 例 如 主 磁盘 分 区 和 扩展 分 区 中 的 逻辑 驱动 器 。 动 
态 磁盘 包含 所 提供 的 功能 比 基 本 磁盘 要 多 的 动态 卷 ， 如 在 Windows 2000 Server 家 族 或 
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Windows Server 2008 家 族 操 作 系统 上 创建 容错 卷 。 

里 ”本 地 和 远程 磁盘 管理 .使 用 Disk Management 可 以 管理 运行 Windows 2000、Vista 或 Windows 
Server 2008 家 族 操作 系统 的 任何 远程 计算 机 。 

里 。” 装 入 的 驱动 器 。 使 用 Disk Management 可 以 在 本 地 NTFS 卷 上 的 任何 空 文件 夹 中 连接 或 装 入 本 
地 驱动 器 。 装 入 的 驱动 器 使 数据 更 容易 访问 ， 并 赋予 用 户 基于 工作 环境 和 系统 使 用 情况 管理 数据 
存储 的 灵活 性 。 
”支持 MBR 和 GPT 磁盘 。 Disk Management 在 基于 x86 的 计算 机 上 提供 对 主 启 动 记录 (MBR) 
磁盘 的 支持 ， 以 及 在 基于 Itanium 的 计算 机 中 提供 对 MBR 和 GUID 分 区 表 (GPT) 磁盘 
的 支持 。 

”支持 存储 区 域 网 络 (SANs)。 为 了 在 Windows Server 2008 Enterprise Edition 和 Windows 
Server 2008 Datacenter Edition 之 间 的 存储 区 域 网 络 有 良好 的 互 操 作 性 ， 新 磁盘 上 的 卷 加 入 系统 
时 ， 不 默认 自动 装 入 和 分 配 驱 动 器 符 。 

我 们 可 以 使 用 Disk Management 来 配置 和 管理 计算 机 的 存储 空间 以 及 执行 所 有 的 磁盘 管理 任务 ,也 可 
以 使 用 磁盘 管 理 来 转换 磁盘 的 存储 类 型 ， 创 建 和 扩展 卷 以 及 其 他 的 磁盘 管理 工作 ， 例 如 : 管理 驱动 器 盘 符 
和 路 径 。 

当 我 们 创建 了 一 个 新 的 控制 台 ， 并 添加 了 Disk Management 单元 后 ， 就 可 以 通过 Disk Management 
控制 台 来 管理 本 地 和 远程 计算 机 上 的 磁盘 。 通 过 在 控制 台中 添加 多 个 Disk Management 单元 , 可 以 在 一 个 
控制 台中 同时 管理 本 地 和 多 个 远程 计算 机 上 的 磁盘 。 作 为 管理 员 组 (Administrators group) 或 服务 器 操作 员 
组 (Server Operators grouPp) 的 成 员 ， 我 们 可 以 从 网 络 中 任何 一 台 运 行 Windows Server 2008 的 计算 机 上 管 
理 域 中 或 信任 域 中 运行 Windows Server 2008 计算 机 上 的 磁 桩 。 


11.2.1 初始 化 磁盘 


磁盘 分 区 是 一 种 划分 物理 磁盘 的 方法 ， 以 便 使 每 一 部 分 都 能 够 作为 单独 的 单元 运行 。 在 基本 磁盘 上 创 
建 分 区 时 ， 可 将 磁盘 分 成 一 个 或 多 个 区 域 ， 不 同 的 分 区 通常 具有 不 同 的 驱动 器 号 (如 C: 和 D: )。 一 个 基 
本 磁盘 最 多 可 以 创建 四 个 主 磁 檀 分 区 ,或 者 三 个 主 磁盘 分 区 和 一 个 扩展 分 区 。( 扩 展 分 区 可 以 细 分 为 逻辑 驱 
动 器 , 而 主 磁极 分 区 无 法 再 细 分 ) 在 我 们 创建 了 一 个 分 区 之 后 , 必须 对 该 分 区 按 不 同 的 文件 系统 (NTFS、FAT) 
进行 格式 化 ， 然 后 才 可 以 在 该 分 区 上 存储 数据 。 

分 区 ， 我 们 可 以 将 系统 文件 和 应 用 程序 分 别 安装 在 不 同 的 分 区 上 。 例 如 ， 一 个 管理 员 可 以 将 系统 
文件 安装 在 字母 C 标识 的 分 区 上 ， 而 将 应 用 程序 文件 安装 在 字母 D 标识 的 分 区 上 。 

示例 : 实现 磁盘 分 区 。 

给 服务 器 添加 3 块 IDE 接口 的 硬盘 。 

Q@ 关闭 FileServer， 如 图 11-2 所 示 ， 单 击 Edit virtual machine settings， 在 出 现 的 Virtual Machine 

Settings 对 话 框 中 ， 选 中 CD-ROM， 单 击 Remove 按钮 。 


兰 


©O 注意 ; 因为 IDE 接口 最 多 只 能 接 四 个 硬盘 ， 光 驱 占用 一 个 ， 就 不 能 添加 三 块 IDE 接口 的 硬盘 了 ， 因 此 需 
要 删除 CD-ROM。 


回 如 图 11-3 所 示 ， 单 击 Add， 在 出 现 的 对 话 框 中 ， 选 中 Hard Disk， 单 击 Next 按钮 。 
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图 如 图 11-4 所 示 , 在 出 现 的 选择 磁盘 对 话 框 中 , 选中 Create a new virtual disk 单 选 按 钮 , 单 击 Next 
按钮 。 
@ 如 图 11-5 所 示 ， 在 出 现 的 选择 磁盘 类 型 对 话 框 中 选中 IDE 单 选 按钮 ， 单 击 Next 按钮 。 
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图 11-2 ”删除 光驱 图 11-3 ”添加 硬盘 
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图 11-4 选择 磁盘 图 11-5 选择 磁盘 类 型 


如 图 11-6 所 示 , 在 出 现 的 指定 磁盘 文件 对 话 框 , 输入 磁盘 文件 的 名 称 FirstDisk.vmdk, 单 击 Next 
按钮 。 

如 图 11-7 所 示 ， 在 出 现 的 指定 磁盘 大 小 对 话 框 中 ， 输 入 磁盘 大 小 40 GB， 单 击 Finish 按钮 ， 完 成 
硬盘 添加 。 

使 用 相同 的 方法 添加 SecondDisk.vmdk 和 Third.vmdk 两 块 40 GB 硬盘 。 

启动 FileServer。 

以 管理 员 身 份 登录 到 FileServer， 打 开 服 务 器 管理 器 。 

选择 “存储 ”一 “磁盘 管理 ”命令 ， 在 出 现 的 初始 化 磁盘 对 话 框 ， 选 中 “GPT(GUID 分 区 表 )”， 
单 击 “ 确 定 ”按钮 。 
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| 提示: 在 我 们 为 某 台 计算 机 安装 一 块 新 硬盘 时 ， 必 须 先 对 该 硬盘 进行 初始 化 ， 然 后 再 对 该 硬盘 进行 分 区 
操作 。 主 启 动 记 录 (MBR) 磁盘 使 用 标准 的 BIOS 分 区 表 . GUID 分 区 表 (GPT) 磁盘 使 用 可 扩展 固件 接 
口 (EFD。 MBR 磁盘 不 支持 每 个 磁盘 上 多 于 四 个 分 区 . 对 于 大 于 2 TB 的 磁盘 ， 不 建议 使 用 MBR 分 区 
方式 .只 要 磁盘 是 空 的 而 且 未 包含 任何 卷 ， 就 可 以 将 其 从 GPT 分 区 形式 更 改 为 MBR 分 区 形式 。 


图 11-6 指定 磁盘 文件 图 11-7 指定 磁盘 大 小 


11.2.2 ”GPT 磁盘 类 型 转换 成 MBR 类 型 


如 果 初 始 化 磁盘 时 选择 的 是 GUID 分 区 表 ， 在 硬 向 没有 创建 分 区 时 ， 可 以 将 磁盘 转换 成 MBR 类 型 。 
如 图 11-8 所 示 ， 右 击 需 要 转化 的 磁盘 ， 从 弹出 的 快捷 菜单 中 选择 “转换 成 MBR 磁盘 ”命令 。 


em 
sO DD $Y UD 


图 11-8 转换 成 MBR 磁盘 


11.2.3 在 MBR 磁盘 上 创建 分 区 


在 对 MBR 磁盘 进行 分 区 之 前 ， 有 必要 理解 以 下 几 个 基本 概念 。 
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sm。 主 磁 盘 分 区 。 
于 “扩展 磁盘 分 区 。 
”逻辑 驱动 器 。 

mm 卷 。 


1. 主 磁盘 分 区 


主 磁盘 分 区 是 可 在 基本 磁盘 上 创建 的 分 区 类 型 。 主 磁盘 分 区 是 物理 磁盘 的 一 部 分 ， 它 像 物理 上 独立 的 
磁盘 那样 工作 。 对 于 基本 主 启动 记录 (MBR) 磁 盘 ， 我 们 可 以 创建 4 个 主 分 区 或 3 个 主 分 区 加 上 一 个 有 多 个 
逻辑 驱动 器 的 扩展 分 区 。 而 对 于 GUID 分 区 表 磁盘 (GPT)， 最 多 可 以 创建 128 个 主 磁盘 分 区 。 一 个 主 分 区 


不 能 再 细 分 ， 而 一 个 扩展 分 区 可 以 分 成 儿 个 逻辑 驱动 器 。 
2. 扩展 磁盘 分 区 


扩展 分 区 也 是 一 种 分 区 类 型 ， 我 们 只 可 以 在 一 块 基本 的 主 启动 (MBR) 磁 盘 上 创建 扩展 分 区 。 如 果 我 们 
想 在 基本 的 MBR 磁盘 上 创建 4 个 以 上 的 卷 ， 使 用 扩展 磁盘 分 区 将 非常 有 用 。 与 主 磁盘 分 区 不 同 ， 我 们 不 


要 用 一 个 文件 系统 来 格式 化 一 个 扩展 分 区 ， 然 后 给 它 指派 一 个 逻辑 驱动 器 。 相 反 ， 可 以 在 一 个 扩展 分 
创建 多 个 逻辑 驱动 器 ， 然 后 再 用 文件 系统 对 它们 进行 格式 化 。 


3. 逻辑 驱动 器 


区 上 


逻辑 驱动 器 就 是 在 基本 主 启动 记录 (MBR) 磁 盘 的 扩展 磁盘 中 创建 的 卷 。 逻辑 驱动 器 类 似 于 主 磁盘 分 区 ， 


只 是 在 每 个 磁盘 中 最 多 只 能 有 4 个 主 分 区 ， 而 在 每 个 磁盘 上 创建 的 逻辑 驱动 器 的 数目 可 以 达到 24 个 
GUID 分 区 表 磁盘 上 不 能 创建 扩展 分 区 或 逻辑 驱动 器 。 

示例 : 在 MBR 磁盘 上 创建 分 区 。 

四 ”如 图 11-9 所 示 ， 右 击 磁 机 1 未 分 配 空间 ， 从 弹出 的 快捷 菜单 中 选择 “新 建 简单 卷 ”命令 。 


G 提示 : 在 Windows Server 2008 中 ， 在 静态 磁盘 上 创建 简单 卷 等 同 于 早期 版 本 的 分 区 。 


@ ”打开 新 建 简单 卷 向 导 ， 单 击 “ 下 一 步 ”按钮 。 
图 如 图 11-10 所 示 ， 在 出 现 的 “指定 卷 大 小 ”对 话 框 中 输入 2000， 单 击 “ 下 一 步 ”按钮 。 


se em 
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11-9 创建 简单 卷 图 11-10 ”指定 大 小 
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@@ 如 图 11-11 所 示 ， 在 出 现 的 “分 配 驱 动 器 号 和 路 径 ” 界 面 中 ， 指 定 盘 符 ， 单 击 “ 下 一 步 ” 按 钮 。 
回 如 图 11-12 所 示 ， 在 出 现 的 “格式 化 分 区 ”界面 中 ， 选 定 文件 系统 为 NTFS， 选 中 “执行 快速 格式 
化 ” 复 选 框 ， 单 击 “ 下 一 步 ”按钮 。 


图 11-11 指定 盘 符 和 路 径 图 11-12 格式 化 分 区 
如 图 11-13 所 示 ， 如 果 创 建 的 简单 卷 超过 3 个 ， 则 可 以 看 到 第 四 个 卷 将 会 自动 放 在 扩展 分 区 上 。 


图 11-13 扩展 分 区 


11.2.4 ”磁盘 属性 概述 


磁盘 的 属性 提供 了 有 关 磁 盘 的 最 近 信 息 。 我 们 可 以 使 用 DiskPart 命令 行 工具 或 Disk Management 磁 
得 属性 对 话 框 来 访问 其 属性 信息 。 
Q@@ ”如 图 11-14 所 示 ， 右 击 磁 答 ， 从 弹出 的 快捷 菜单 中 选择 “属性 ”命令 。 
回 如 图 11-15 所 示 ， 在 “常规 ”选项 卡 中 ， 我 们 可 以 了 解 该 磁盘 设备 的 类 型 、 制 造 商 和 位 置 等 信息 。 
@ ”磁盘 属性 对 话 框 的 “ 卷 ” 选 项 卡 如 图 11-16 所 示 。 通 过 “ 卷 ” 选项 卡 ， 我 们 可 以 了 解 磁盘 的 编号 、 
类 型 、 状 态 、 磁 盘 分 区 形式 、 容 量 、 未 分 配 空间 和 保留 空间 等 信息 。 
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Mitachi HTS541612]95A00 ATA Device 


设备 类 型 磁盘 驱动 器 

制造 商 - 昧 准 磁盘 驱动 器 ) 

位 置 位 置 0 Channel 0, Target 0, Lun 0) 
设备 扩 态 
这 个 设备 运转 正常 。 
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图 11-14 磁盘 属性 图 11-15 磁盘 信息 


之 贡 “| 弟 中 “| 蔬 。 ”| 站 动 程序 | 说 
这 个 大 上 所 的 区 如 下 所 列 。 


图 11-16 卷 的 信息 


11.2.5 ”重新 扫描 磁盘 


当 在 计算 机 之 间 移 动 硬 得 之 后 ， 必 须 重新 扫描 磁盘 。 当 重新 扫描 磁盘 属性 时 ， 它 将 扫描 所 有 的 硬盘 ， 
以 及 磁盘 配置 信息 的 改变 。 通 过 重新 扫描 磁盘 还 可 以 更 新 可 移动 存储 媒体 、CR-ROM 驱动 器 、 基 本 卷 、 文 
件 系 统 和 驱动 器 号 。 


当 我 们 在 计算 机 中 安装 一 块 新 硬盘 , 而 Disk Management 却 没 有 检测 到 该 硬盘 时 , 可 以 通过 重新 扫描 
该 硬盘 来 更 新 硬盘 的 属性 。 


如 图 11-17 所 示 ， 右 击 “ 磁 舟 管 理 ”选项 ， 从 弹出 的 快捷 菜单 中 选择 “重新 扫描 磁盘 ”命令 。 
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图 11-17 重新 扫描 磁盘 


11.3 ”更改 驱 动 器 号 和 路 径 


11.3.1 更 改 驱动 器 号 


在 创建 卷 时 指定 的 驱动 器 号 ， 在 使 用 了 一 段 时 间 后 还 可 以 根据 需要 进行 更 改 。 

Q@@ 如 图 11-18 所 示 ， 右 击 卷 ， 从 弹出 的 快捷 菜单 中 选择 “更 改 驱 动 器 号 和 路 径 ” 命 令 。 

@ 如 图 11-19 所 示 ， 在 出 现 的 对 话 框 中 ， 单 击 “ 更 改 ” 按 钮 。 在 出 现 的 对 话 框 中 ， 选 定 稻 符 ， 单 击 
“确定 ”按钮 。 
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图 11-18 更改 驱动 器 号 和 路 径 图 11-19 更 改 盘 符 
@ 如 图 11-20 所 示 ， 在 出 现 的 “磁盘 管理 ”提示 对 话 框 中 ， 单 击 “ 是 ”按钮 。 
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图 11-20 更 改 盘 符 


11.3.2 ” 挂 接 卷 


我 们 可 以 将 磁盘 分 区 或 卷 挂 接 到 空 的 NTFS 文件 下 ， 用 户 可 以 通过 该 文件 夹 访问 磁盘 分 区 。 

Q@@ 如 图 11-21 所 示 ， 右 击 卷 ， 从 弹出 的 快捷 菜单 中 选择 “更 改 驱 动 器 号 和 路 径 ” 命 令 。 

@ 如 图 11-22 所 示 ， 在 出 现 的 “更 改 ” 对 话 框 中 单 击 “添加 ”按钮 。 

图 如 图 11-22 所 示 ， 在 出 现 的 “添加 驱动 器 号 或 路 径 ” 对 话 框 中 ， 单 击 “ 浏 览 ”按钮 ， 选 定 C:\， 
单 击 “ 新 建文 件 夹 ” 按 钮 ， 输 入 “G 盘 ”， 单 击 “ 确 定 ” 按 钮 。 
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11-21 更 改 盘 符 和 路 径 11-22， 挂 接 到 空 NTFS 文件 夹 
@ 如 图 11-23 所 示 ， 可 以 看 到 ， 除 了 G 驱动 器 之 外 ， 还 可 以 用 (C:)\G 得 访问 这 个 卷 。 


提示 : 可 以 删除 G 驱动 器 号 ， 这 样 用 户 只 能 通过 “(C:)\G 盘 ” 访 问 。 也 可 以 将 该 卷 挂 接 到 多 个 空 NTFS 
交 件 夹 : 


回 如 图 11-24 所 示 ， 打 开 (C: ) 盘 ， 可 以 看 到 有 一 个 使 用 磁盘 图 标的 文件 来 “G 盘 ”。 单 击 G 盘 ， 可 
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以 打开 G 卷 。 


图 11-23 ” 挂 接 卷 图 11-24 ”查看 挂 接 卷 


什么 时 候 使 用 挂 接 卷 

装 入 的 驱动 器 不 受 26 个 驱动 器 号 限制 的 影响 ， 因 此 可 以 使 用 装 入 的 驱动 器 在 计算 机 上 访问 26 个 以 
上 的 了 驱动器， 驱动器 号 紧张 时 使 用 挂 接 卷 。 

如 果 你 使 用 的 程序 在 开发 时 指定 使 用 系统 目录 下 的 downloads 文件 夹 并 且 不 能 更 改 , 而 系统 盘 空 间 不 
够 用 ， 可 以 将 一 个 新 卷 挂 接 到 download 文件 夹 。 


11.4 实现 磁盘 转换 


11.4.1 基本 磁盘 与 动态 磁盘 


基本 磁盘 是 Windows Server 2008 默认 的 磁盘 类 型 。 基 本 磁盘 是 包含 主 磁盘 分 区 、 扩 展 磁盘 分 区 或 迪 
辑 驱 动 器 的 物理 磁盘 。 基 本 磁盘 上 的 分 区 和 迪 辑 驱动 器 称 为 基本 卷 ， 只 能 在 基本 磁盘 上 创建 基本 卷 。 使 用 
基本 磁盘 的 好 处 在 于 ， 它 可 以 提供 单独 的 空间 来 组 织 数 据 。 
可 在 基本 磁盘 上 创建 的 分 区 个 数 取决 于 磁盘 的 分 区 样式 。 
”对 于 主 启动 记录 (MBR) 磁 盘 ， 可 以 最 多 创建 四 个 主 磁盘 分 区 ， 或 最 多 三 个 主 磁盘 分 区 加 上 一 个 扩 
展 分 区 。 在 扩展 分 区 内 ， 可 以 创建 多 个 逻辑 驱动 器 。 
”对 于 GUID 分 区 表 (GPT) 磁盘 ， 最 多 可 创建 128 个 主 磁盘 分 区 。 由 于 GPT 磁 符 并 不 限制 四 
个 分 区 ， 因 而 不 必 创建 扩展 分 区 或 逻辑 驱动 器 。 
动态 磁盘 可 以 提供 基本 磁盘 所 不 具备 的 一 些 功能 ， 例 如 创建 可 跨越 多 个 磁盘 的 卷 和 创建 具有 容错 能 力 
的 卷 ， 所 有 动态 磁盘 上 的 卷 都 是 动态 卷 。 在 动态 磁盘 中 可 以 创建 五 种 类 型 的 动态 卷 ， 简 单 卷 、 跨 区 卷 、 带 
区 卷 、 镜 像 卷 和 RAID-5 卷 ， 其 中 镜像 卷 和 RAID-5 卷 是 容错 卷 。 
使 用 动态 磁盘 的 好 处 在 于 以 下 方面 。 
”动态 磁盘 可 被 用 来 创建 跨越 多 个 磁盘 的 卷 。 
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”动态 磁盘 可 被 用 来 创建 默认 的 容错 磁盘 ， 以 确保 当 硬 件 发 生 故障 时 的 数据 完整 性 。 

e。 在 每 个 动态 磁 答 上 可 以 创建 最 多 2000 个 动态 卷 ， 但 是 动态 卷 的 推荐 值 是 32 个 或 更 少 。 

在 Windows Server 2008 中 我 们 可 以 实现 基本 磁盘 与 动态 磁盘 之 间 的 相互 转换 。 将 基本 磁盘 转换 成 动 
态 磁 玲 可 以 实现 以 下 功能 。 
创建 或 删除 简单 卷 、 跨 区 卷 、 带 区 卷 、 镜 像 卷 和 RAID-5 卷 。 
扩展 一 个 简单 卷 或 跨 区 卷 。 
修复 镜像 卷 或 RAID-5 卷 。 

使 跨越 多 个 磁盘 的 卷 恢复 活动 。 

我 们 可 以 在 任何 时 间 将 基本 磁盘 转换 成 动态 磁盘 ， 而 不 会 丢失 数据 。 当 将 一 个 基本 磁盘 转换 成 动态 磁 
盘 时 ， 在 基本 磁盘 上 的 分 区 将 变 成 卷 。 我 们 也 可 以 将 动态 磁盘 转换 成 基本 磁盘 ， 但 是 在 动态 磁盘 上 的 数据 
将 会 丢失 。 为 了 将 动态 磁盘 转换 成 基本 磁盘 ， 要 先 删除 动态 磁盘 上 的 数据 和 卷 ， 然 后 从 未 分 配 的 磁盘 空间 
上 重新 创建 基本 分 区 。 

表 11-1 对 比 了 基本 磁盘 与 动态 磁盘 之 间 的 差异 。 


表 11-1 基本 磁盘 与 动态 磁盘 


磁 盘 SE 
基本 磁盘 使 用 所 创建 的 独立 的 空间 组 织 数据 
可 以 被 划分 成 4 个 主 分 区 或 3 个 主 分 区 和 一 个 扩展 分 区 
使 用 跨越 多 个 磁盘 的 卷 
动态 磁盘 每 块 磁盘 上 的 卷 的 数目 不 受 限制 


使 用 所 创建 的 默认 的 容错 磁盘 确保 数据 的 完整 性 


11.4.2 ”将 基本 磁盘 转换 为 动态 磁盘 


大 多 数组 织 在 他 们 的 服务 器 中 都 使 用 动态 磁盘 。 通 过 使 用 动态 磁盘 一 方面 可 以 提供 默认 的 容错 ， 另 一 
方面 可 以 在 需要 的 时 候 扩 展 磁极 空间 。 在 Windows Server 2003 中 默认 的 磁盘 类 型 是 基本 磁极， 如 果 我 们 
计划 使 用 动态 磁盘 ， 必 须 将 一 个 基本 磁盘 转换 成 动态 磁 签 。 

将 基本 磁 检 转换 成 动态 磁盘 后 ， 动 态 磁盘 将 既 不 包含 基本 卷 ( 主 磁盘 分 区 或 逻辑 驱动 器 )， 也 不 能 由 
MS-DOS、 Windows 95、Windows 98、Windows Millennium Edition、Windows NT 或 Windows XP 
Home Edition 操作 系统 访问 ,只 有 Windows 2000、Windows XP Professional、 Windows Server 2003 或 
Windows Server 2008 家 族 操作 系统 才能 访问 动态 卷 。 将 基本 磁盘 转换 为 动态 磁盘 之 后 ， 基 本 磁盘 上 已 有 
的 全 部 分 区 或 逻辑 驱动 器 都 将 变 为 动态 磁盘 上 的 简单 卷 。 

示例 : 将 基本 磁盘 转换 为 动态 磁盘 。 

Q@ 如 图 11-25 所 示 ， 右 击 磁盘 ， 从 弹出 的 快捷 菜单 中 选择 “转换 到 动态 磁盘 ”命令 。 

回 如 图 11-26 所 示 ， 在 出 现 的 “转换 为 动态 磁盘 ”对 话 框 中 ， 选 中 要 转换 的 磁盘 ， 单 击 “ 确 定 ” 

按钮 。 


注意 : 将 基本 磁盘 转化 为 动态 磁盘 后 ， 不 能 将 动态 卷 改 回 到 分 区 ， 而 必须 先 删除 磁盘 上 的 所 有 动态 卷 ， 
然后 使 用 降级 成 基本 磁盘 。 如 果 要 保留 数据 ， 必 须 将 数据 备份 或 转移 到 另 一 个 卷 上 。 
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图 11-25 ”转换 成 动态 磁盘 图 11-26 ”选择 要 转换 的 磁盘 


如 图 11-27 所 示 ， 在 出 现 的 “要 转换 的 磁盘 ”对 话 框 中 单 击 “ 转 换 ” 按 钮 。 
如 图 11-28 所 示 ， 在 出 现 的 提示 对 话 框 中 单 击 “ 是 ”按钮 。 


@@ 四 


图 11-27 要 转换 的 磁盘 图 11-28 磁盘 转换 
回 如 图 11-29 所 示 ， 可 以 看 到 将 基本 磁盘 转换 成 动态 磁盘 ， 分 区 的 内 容 不 会 丢失 。 


图 11-29 ”动态 磁盘 
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11.4.3 ”将 动态 磁盘 转换 为 基本 磁盘 


在 将 动态 磁盘 转换 回 基本 磁盘 之 前 ， 在 该 动态 磁盘 上 绝 不 能 具有 任何 卷 ， 也 不 能 包含 任何 数据 。 如 果 
要 保存 数据 ， 则 在 转化 磁盘 之 前 应 备份 该 磁盘 上 的 数据 ， 或 将 其 转移 到 另 一 个 卷 上 。 

如 图 11-30 所 示 , 没有 卷 的 硬盘 可 以 转换 成 基本 磁盘 。 如 图 11-31 所 示 ， 如 果 动态 磁盘 有 卷 ， 将 不 可 转 
换 成 基本 磁盘 。 
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图 11-30 ”转换 成 基本 磁盘 图 11-31 不 能 转换 


11.5 ”管理 动态 卷 


在 动态 磁 租 上 我 们 可 以 创建 卷 ， 卷 就 是 磁盘 上 的 存储 区 域 。 一 个 硬盘 可 以 有 多 个 卷 ， 一 个 卷 也 可 以 跨 
越 多 个 磁盘 。 我 们 可 以 使 用 一 种 文件 系统 来 格式 化 卷 ， 并 给 卷 指派 一 个 驱动 器 号 。 


11.5.1 卷 的 类 型 


1. 简单 卷 


一 个 简单 卷 就 是 驻 留 在 一 个 动态 磁盘 上 的 单一 的 卷 。 简 单 卷 是 物理 磁盘 的 一 部 分 ， 但 它 工作 时 就 好 像 
是 物理 磁盘 上 的 一 个 独立 单元 。 我 们 可 以 从 动态 磁盘 的 未 分 配 空间 来 创建 简单 卷 ， 但 当 只 有 -一 个 动态 磁盘 
时 ， 简 单 卷 是 我 们 可 以 创建 的 唯一 卷 。 简 单 卷 与 分 区 相似 ， 但 与 分 区 不 同 ， 简 单 卷 既 没有 大 小 限制 ， 也 没 
有 在 一 块 磁盘 上 可 创建 卷 的 数目 的 限制 。 

在 简单 卷 中 可 以 使 用 的 文件 系统 包括 : NTFS、FAT 和 FAT32。 我 们 可 以 通过 将 卷 扩展 到 相同 或 不 同 
磁盘 上 的 未 分 配 空 间 上 来 增加 现 有 简单 卷 的 大 小 。 要 扩展 简单 卷 ， 则 该 卷 必须 尚未 格式 化 ， 可 以 通过 
Windows 2003 或 Windows Server 2008 系列 操作 系统 中 使 用 的 NTFS 版 本 对 卷 进行 格式 化 。 在 
Windows Server 2008 系列 操作 系统 上 ， 可 以 扩展 简单 卷 ， 除 非 该 卷 是 系统 分 区 、 启 动 分 区 或 以 前 是 基本 
磁盘 上 的 分 区 的 简单 卷 , 这些 基本 磁盘 已 经 通过 Windows 2008 转换 为 动态 磁盘 。 扩展 相同 磁盘 上 的 简单 
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卷 后 ， 该 卷 仍 为 简单 卷 ， 且 仍然 可 以 镜像 它 。 

只 有 Windows 2000、Windows XP Professional、 Windows Server 2003 和 Windows Server 2008 家 
族 操作 系统 才能 访问 简单 卷 。 如 果 计 算 机 上 还 运行 MS-DOS、Windows 95、Windows 98、Windows 
Millennium Edition、Windows NT 4.0 或 Windows XP Home Edition 等 ， 则 应 该 在 基本 磁盘 上 创建 基 
本 卷 ， 因 为 这 些 操作 系统 不 能 访问 动态 卷 。 

可 以 使 用 简单 卷 来 实现 所 有 的 数据 存储 ， 直 到 在 磁盘 空间 不 足 。 为 了 获得 更 多 的 磁盘 空间 ， 可 以 创建 
一 个 扩展 的 、 跨 区 的 、 带 区 的 卷 。 

2. 跨 区 卷 

使 用 跨 区 卷 可 以 将 来 自 多 个 磁盘 的 未 分 配 空间 合并 到 一 个 逻辑 卷 中 ， 这 样 我 们 可 以 更 有 效 地 使 用 多 个 
磁盘 系统 上 的 所 有 空间 和 所 有 驱动 器 号 。 在 一 个 卷 被 扩展 之 后 ， 为 了 删除 扩展 卷 的 一 部 分 ， 我 们 必须 删除 
整个 跨 区 卷 。 

跨 区 卷 具 有 以 下 几 个 特点 。 

只 能 在 动态 磁极 上 创建 跨 区 卷 。 
和 ”至少 需要 两 个 动态 磁盘 才能 创建 跨 区 卷 。 
里。 跨 区 卷 最 多 可 以 扩展 到 32 个 动态 磁盘 。 
mn 
mn 


跨 区 卷 无 法 镜像 。 
跨 区 卷 不 具备 容错 能 力 。 

我 们 只 能 够 使 用 NTFS 文件 系统 来 创建 跨 区 卷 。 跨 区 卷 不 能 是 镜像 卷 并 且 不 提供 容错 。 如 果 包 含 一 个 
跨 区 卷 的 磁盘 出 现 故障 ， 则 整个 卷 将 无 法 工作 ， 且 其 上 的 数据 都 将 丢失 。 

如 果 需 要 创建 卷 ， 但 又 没有 足够 的 未 分 配 空间 分 配给 单个 磁盘 上 的 卷 ， 则 可 通过 将 来 自 多 个 磁盘 的 未 
分 配 空间 的 扇 区 合并 到 一 个 跨 区 卷 来 创建 足够 大 的 卷 。 用 于 创建 跨 区 卷 的 未 分 配 空间 区 域 的 大 小 可 以 不 同 。 
跨 区 卷 是 这 样 组 织 的 ， 先 将 一 个 磁盘 上 为 卷 分 配 的 空间 充满 ， 然 后 从 下 一 个 磁盘 开始 ， 再 将 该 磁盘 上 为 卷 
分 配 的 空间 充满 。 跨 区 卷 可 以 在 不 使 用 装 入 点 的 情况 下 获得 更 多 磁盘 上 的 数据 。 通 过 将 多 个 磁盘 使 用 的 空 
间 合 并 为 一 个 跨 区 卷 ， 从 而 可 以 释放 驱动 器 号 用 于 其 他 用 途 ， 并 可 创建 一 个 较 大 的 卷 用 于 文件 系统 。 

我 们 只 能 在 动态 磁 禁 上 创建 跨 区 卷 ， 并 且 至 少 需要 两 个 动态 磁极 才能 创建 跨 区 卷 。MS-DOS 、 
Windows 95、Windows 98、Windows NT 4.0、Windows XP Home Edition 和 其 他 缺乏 动态 存储 功能 的 
操作 系统 无 法 识别 通过 Windows 2000、Windows XP Professional、Windows Server 2003 或 Windows 
Server 2008 家 族 操作 系统 创建 的 任何 跨 区 卷 。 因 此 ， 如 果 创 建 双 启 动 模式 计算 机 上 的 带 区 卷 , 则 其 他 操作 
系统 将 无 法 使 用 构成 该 卷 的 磁盘 。 

使 用 NTFS 文件 系统 格式 化 的 现 有 跨 区 卷 可 由 所 有 磁盘 上 未 分 配 空间 的 总 量 进 行 扩展 。 但 是 ， 在 扩展 
跨 区 卷 之 后 ， 不 删除 整个 跨 区 卷 将 无 法 删除 它 的 任何 部 分 。Disk Management 可 以 格式 化 新 的 区 域 ， 但 不 
会 影响 原 跨 区 卷 上 现 有 的 任何 文件 。 

3. 带 区 卷 (RAID - 0) 

如 图 11-32 所 示 , 带 区 卷 是 通过 将 两 个 或 更 多 动态 磁盘 上 的 可 用 空间 区 域 合 并 到 一 个 逻辑 卷 而 创建 的 。 
带 区 卷 使 用 RAID-0， 从 而 可 以 在 多 个 磁盘 上 分 布 数据 。 带 区 卷 不 能 被 扩展 或 镜像 ， 并 且 不 提供 容错 。 如 
果 包含 带 区 卷 的 其 中 一 个 磁盘 出 现 故 障 ， 则 整个 卷 无 法 工作 。 当 创建 带 区 卷 时 ， 最 好 使 用 相同 大 小 、 型 号 
和 制造 商 的 磁盘 。 
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图 11-32 RAID-0 


利用 带 区 卷 ， 可 以 将 数据 分 块 并 按 一 定 的 顺序 在 阵列 中 的 所 有 磁盘 上 分 布 数据 ， 与 跨 区 卷 类 似 。 带 区 
卷 可 以 同时 对 所 有 磁盘 进行 写 数据 操作 ， 从 而 可 以 相同 的 速率 向 所 有 磁盘 写 数据 。 通 过 多 个 驱动 器 头 可 以 
访问 分 布 在 多 个 硬盘 上 的 数据 ， 来 提高 数据 的 读 写 性 能 。 

尽管 带 区 卷 不 具备 容错 能 力 ， 但 带 区 卷 在 所 有 Windows 磁盘 管理 策略 中 的 性 能 最 好 ， 并 且 它 通过 同 
时 在 多 个 磁盘 上 分 配 IO 请 求 来 提高 IO 性 能 。 

使 用 带 区 卷 可 以 在 下 列 情况 提高 IO 性 能 。 

”从 (向 ) 大 的 数据 库 中 读 ( 写 ) 数 据 。 

”以 极 高 的 传输 速率 从 外 部 源 收集 数据 。 

”装载 程序 映像 、 动 态 链接 库 (DLL) 或 运行 时 库 。 

MS-DOS、 Windows 95、 Windows 98. Windows Millennium Edition、 Windows NT 4.0, Windows XP 
Home Edition 和 其 他 缺乏 动态 存储 功能 的 操作 系统 无 法 识别 通过 Windows 2000、Windows XP 
Professional、Windows Server 2003 或 Windows Server 2008 家 族 操作 系统 创建 的 任何 带 区 卷 。 因此， 如 
果 创 建 双 启 动 模式 计算 机 上 的 带 区 卷 ， 则 其 他 操作 系统 将 无 法 使 用 该 卷 。 


4. 镜像 卷 (RAID -1) 


如 图 11-33 所 示 ， 镜 像 卷 是 具有 容错 能 力 的 动态 卷 。 它 通过 使 用 卷 的 两 个 副本 或 镜像 复制 存储 在 卷 上 
的 数据 从 而 提供 数据 元 余 性 。 写 入 到 镜像 卷 上 的 所 有 数据 都 写 入 到 位 于 独立 的 物理 磁盘 上 的 两 个 镜像 中 。 


Ftdisk.sys 


图 11-33 镜像 卷 (RAID-1) 


如 果 其 中 一 个 物理 磁盘 出 现 故 障 ， 则 该 故障 磁盘 上 的 数据 将 不 可 用 ， 但 是 系统 可 以 使 用 未 受 影 响 的 磁 
得 继续 操作 。 当 镜像 卷 中 的 一 个 镜像 出 现 故 障 时 ， 则 必须 将 该 镜像 卷 中 断 ， 使 得 另 一 个 镜像 成 为 具有 独立 
驱动 器 号 的 卷 : 然 后 可 以 在 其 他 磁盘 中 创建 新 镜像 卷 ， 该 卷 的 可 用 空间 应 与 之 相同 或 更 大 。 当 创建 镜像 卷 
时 ， 最 好 使 用 大 小 、 型 号 和 制造 商都 相同 的 磁盘 。 

由 于 双 写 入 操作 可 能 降低 系统 性 能 ， 所 以 许多 镜像 卷 配置 都 是 用 双 工 模式 。 在 这 种 模式 中 ， 镜 像 卷 中 
的 每 个 磁盘 都 有 自己 独立 的 磁盘 控制 器 。 双 工 镜像 卷 具有 最 佳 的 数据 可 靠 性 ， 因 为 复制 了 整个 输入 /输出 
(IO) 子 系统 。 这 意味 着 如 果 某 个 磁盘 控制 器 出 现 故障 ， 其 他 控制 器 (及 控制 器 上 的 磁盘 ) 将 继续 正常 运行 。 
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如 果 没 有 使 用 双 控制 器 ， 则 出 现 故障 的 控制 器 将 使 镜像 卷 中 的 两 份 镜像 不 可 访问 ， 直 到 更 换 该 控制 器 。 

几乎 任何 卷 都 可 以 进行 镜像 ， 包 括 系 统 卷 和 启动 卷 。 以 后 不 能 扩展 镜像 卷 来 增加 其 大 小 。 在 基于 
Itanium 的 计算 机 上 ， 无 法 镜像 GUID 分 区 表 (GPT) 磁盘 上 的 可 扩展 固件 接口 (EFI) 系统 分 区 。 

镜像 系统 卷 或 启动 卷 时 ， 可 以 对 镜像 卷 中 的 各 个 磁盘 使 用 单独 的 控制 器 ， 从 而 使 系统 配置 具有 更 好 的 
容错 能 力 。 这 种 方法 使 得 系统 可 以 经 受 住 硬 磁 稻 或 磁 租 控制 器 出 故障 的 考验 。 当 创建 镜像 卷 时 ， 最 好 使 用 
大 小 、 型 号 和 制造 商都 相同 的 磁盘 。 如 果 使 用 双 工 技术 ， 则 推荐 使 用 相同 的 磁盘 和 控制 器 ， 尤 其 是 在 计划 
镜像 系统 卷 或 启动 卷 时 。 

镜像 系统 卷 时 ， 始 终 测 试 以 确保 当 某 个 磁盘 出 现 故 障 时 可 从 各 个 镜像 启动 操作 系统 。 为 防止 出 现 启动 
问题 ， 请 始终 使 用 同一 磁盘 和 控制 器 。 

镜像 卷 目前 广泛 应 用 在 没有 使 用 硬件 RAID 的 简易 服务 系统 中 。 

在 两 个 物理 磁盘 上 复制 数据 的 容错 卷 。 它 通过 使 用 卷 的 副本 (镜像 ) 复 制 该 卷 中 的 信息 来 提供 数据 元 余 ， 
镜像 总 位 于 另 一 个 磁盘 上 。 如 果 其 中 一 个 物理 磁盘 出 现 故 障 ， 则 该 故障 磁盘 上 的 数据 将 不 可 用 ， 但 是 系统 
可 以 使 用 未 受 影响 的 磁盘 继续 操作 。 镜 像 卷 可 以 看 作 硬件 RAID 中 的 RAID1。 


5. RAID-5 卷 


如 图 11-34 所 示 ， 具 有 数据 和 奇偶 校 验 的 容错 卷 ， 有 时 分 布 于 三 个 或 更 多 的 物理 磁盘 ， 奇 侦 校 验 用 于 
在 阵列 失效 后 重建 数据 。 如 果 物 理 磁盘 的 某 一 部 分 失败 ， 可 以 用 余下 的 数据 和 奇偶 校 验 信息 重 新 创建 磁盘 
上 失败 的 那 一 部 分 上 的 数据 。 


图 11-34 RAID-5 卷 


RAID-5 可 以 理解 为 RAID-0 和 RAID-1 的 折衷 方案 。RAID-5 可 以 为 系统 提供 数据 安全 保障 ， 但 保障 
程度 要 比 Mirror 低 ， 而 磁盘 空间 利用 率 要 比 Mirror 高 。RAID-5 具有 和 RAID-0 相近 似 的 数据 读 取 速度 ， 
只 是 多 了 一 个 奇偶 校 验 信息 ， 写 入 数据 的 速度 比 对 单个 磁盘 进行 写 入 操作 稍 慢 。 同 时 由 于 多 个 数据 对 应 一 
个 奇偶 校 验 信息 ，RAID-5 的 磁盘 空间 利用 率 要 比 RAID-1 高 ， 存 储 成 本 相对 较 低 。 


11.5.2 ”简单 卷 管理 


简单 卷 可 以 在 不 删除 数据 的 情况 下 ， 增 加 空间 或 缩小 空间 。 

示例 1: 创建 简单 卷 。 

Q@ ”如 图 11-35 所 示 ， 右 击 动态 磁盘 1， 从 弹出 的 快捷 菜单 中 选择 “新 建 简单 卷 ”命令 。 

加 如 图 11-36 所 示 ， 在 出 现 的 “指定 卷 大 小 ”对 话 框 中 ， 输 入 大 小 为 2000， 单 击 “ 下 一 步 ” 按 钮 。 
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图 11-35 ”创建 简单 卷 图 11-36 指定 卷 的 大 小 


图 如 图 11-37 所 示 ， 在 出 现 的 “分 配 驱 动 器 号 和 路 径 ” 界 面 中 ， 指 定 盘 符 ， 单 击 “ 下 一 步 ”按钮 。 
@ 如 图 11-38 所 示 ， 在 出 现 的 “格式 化 分 区 ”界面 中 ， 选 中 “执行 快速 格式 化 ” 复 选 枉 ， 文 件 系统 
选中 NTFS， 单 击 “ 下 一 步 ” 按 钮 ， 完 成 简单 卷 的 创建 。 
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图 11-37 指定 盘 符 图 11-38 格式 化 硬盘 


示例 2: 扩展 简单 卷 。 

Q@@ ”如 图 11-39 所 示 ， 在 创建 D 卷 后 又 创建 了 F 卷 ， 后 来 发 现 动态 磁盘 上 的 简单 卷 D 空间 不 够 用 了 ， 
这 时 可 以 扩展 其 空间 。 简 单 卷 的 空间 可 以 不 连续 。 

@ 如 图 11-40 所 示 ， 右 击 D 卷 ， 在 弹出 的 快捷 菜单 中 选择 “扩展 卷 ”命令 。 

图 如 图 11-41 所 示 ， 在 出 现 的 “选择 磁盘 ”界面 中 输入 扩展 的 大 小 ， 单 击 “ 下 一 步 ” 按 钮 。 

@ 如 图 11-42 所 示 ， 可 以 看 到 D 卷 的 空间 可 以 不 连续 ， 中 间 有 F 卷 。 
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图 11-41 选 定 磁盘 指定 大 小 图 11-42 卷 可 以 不 连续 


示例 3: 收缩 卷 。 
如 果 卷 的 空间 太 大 ， 可 以 收缩 。 


Q@ 如 图 11-43 所 示 ， 右 击 D 卷 ， 从 弹出 的 快捷 菜单 中 选择 “压缩 卷 ” 命 令 。 
@ ”如 图 11-44 所 示 ， 输 入 减少 空间 的 大 小 ， 单 击 “ 压 缩 ” 按 钮 。 


图 11-43 压缩 卷 图 11-44 输入 减少 空间 大 小 
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图 如 图 11-45 所 示 ， 可 以 看 到 扩展 出 来 的 D 卷 右 侧 部 分 已 经 变 为 1000 MB 大 小 。 


图 11-45 压缩 后 的 大 小 


示例 4: 添加 镜像 。 
简单 卷 可 以 添加 镜像 ， 和 另外 一 块 硬盘 的 空间 形成 镜像 关系 ， 这 样 就 可 以 实现 容错 了 。 


中 如 图 11-46 所 示 ， 右 击 D 卷 ， 从 弹出 的 快捷 菜单 中 选择 “添加 镜像 ”命令 。 
@ 如 图 11-47 所 示 ， 在 出 现 的 “添加 镜像 ”对 话 框 中 ， 选 中 磁盘 2， 单 击 “ 添 加 镜像 ”按钮 。 


图 11-46 添加 镜像 图 11-47 ”选择 磁盘 


图 如 图 11-48 所 示 ， 可 以 看 到 磁盘 2 上 分 出 和 DD 卷 一 样 大 小 的 空间 作为 镜像 。 


图 11-48 简单 卷 转 成 镜像 卷 
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11.5.3 ”镜像 卷 管理 


示例 1， 新 建 镜 像 卷 。 


中 ”如 图 11-49 所 示 ， 右 击 动态 磁盘 磁盘 1， 从 弹出 的 快捷 菜单 中 选择 “新 建 镜像 卷 ”命令 。 
@ 如 图 11-50 所 示 ， 在 出 现 的 “新 建 镜 像 卷 ”对 话 框 中 选中 磁盘 2， 单 击 “ 添 加 ”按钮 ， 输 入 磁盘 空 
间 大 小 ， 可 以 看 到 两 个 磁盘 各 拿 出 2000 MB， 但 卷 的 大 小 是 2000 MB， 单 击 “ 下 一 步 ” 按 钮 。 


i “ do ep 
全 DO 人 人 Si DI OS 


图 11-49 创建 镜像 卷 图 11-50 ”指定 磁盘 和 卷 大 小 


@ 如 图 11-51 所 示 ， 在 出 现 的 “分 配 驱动 器 号 和 路 径 ” 界 面 中 指定 玲 符 ， 单 击 “ 下 一 步 ”按钮 。 
@ 如 图 11-52 所 示 ， 在 出 现 的 “ 卷 区 格式 化 ”界面 中 选中 “执行 快速 格式 化 ” 复 选 枉 ， 单 击 “ 下 一 
步 ”按钮 ， 完 成 创建 。 


图 11-51 分 配 盘 符 和 路 径 图 11-52 卷 区 格式 化 
回 如 图 11-53 所 示 ， 可 以 看 到 新 建 的 镜像 卷 。 
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图 11-53 镜像 卷 


示例 2: 中 断 镜像 卷 。 

中 断 镜 像 卷 ， 可 以 将 镜像 卷 变 成 两 个 简单 卷 ， 失 去 容错 。 

@ 如 图 11-54 所 示 ， 右 击 镜像 卷 ， 从 弹出 的 快捷 菜单 中 选择 “中 断 镜 像 卷 ”命令 ， 在 出 现 的 对 话 框 
中 单 击 “ 是 ”按钮 。 

@ 如 图 11-55 所 示 ， 可 以 看 到 出 现 了 两 个 简单 卷 。 
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图 11-54 中断 镜像 图 11-55 ” 变 成 两 个 简单 卷 


示例 3: 删除 镜像 卷 。 

可 以 删除 磁盘 2 上 的 镜像 ， 这 样 就 会 将 镜像 卷 变 成 一 个 简单 卷 。 

中 ”如 图 11-56 所 示 ， 右 击 镜像 卷 ， 从 弹出 的 快捷 菜单 中 选择 “删除 镜像 ”命令 。 

@@ 如 图 11-57 所 示 ， 选 中 要 删除 镜像 卷 的 磁盘 ， 单 击 “ 删 除 镜像 ” 按 钮 。 在 出 现 的 提示 对 话 框 中 单 
击 “ 是 ”按钮 。 

图 如 图 11-58 所 示 ， 可 以 看 到 ， 只 留 下 磁盘 1 上 的 卷 ， 已 经 变 为 简单 卷 。 
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图 11-58 镜像 卷 变 简单 卷 


11.5.4 ”RAID -5 管理 


示例 : 创建 RAID-5 卷 。 

Q@ 如 图 11-59 所 示 ， 右 击 动态 磁盘 ， 从 弹出 的 快捷 菜单 中 选择 “新 建 RAID-5 卷 ” 命 令 。 

@ 如 图 11-60 所 示 ， 在 出 现 的 “选择 磁盘 ”界面 中 ， 单 击 “ 添 加 ”按钮 ， 添 加 3 个 磁盘 ， 输 入 磁盘 

大 小 ， 单 击 “ 下 一 步 ”按钮 。 

图 如 图 11-61 所 示 ， 在 出 现 的 “分 配 驱 动 器 号 和 路 径 ” 界 面 中 ， 选 择 驱动 器 号 ， 单 击 “ 下 一 步 ” 
按钮 。 

@ 如 图 11-62 所 示 ， 在 出 现 的 “ 卷 区 格式 化 ”界面 中 ， 选 中 “执行 快速 格式 化 ” 复 选 枉 ， 单 击 “ 下 

一 步 ” 按 钮 。 
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图 11-61 指定 盘 符 图 11-62 ”快速 格式 化 


11.5.5” 带 区 卷 管理 


示例 : 创建 带 区 卷 。 

@ ”如 图 11-63 所 示 ， 右 击 动态 磁盘 未 分 配 空间 ， 从 弹出 的 快捷 菜单 中 选择 “新 建 带 区 卷 ” 命 令 。 

加 如 图 11-64 所 示 ， 在 “选择 磁盘 ”界面 中 添加 3 块 硬盘 ， 输 入 大 小 2000， 可 以 看 到 整个 卷 的 大 小 
为 6000 MB。 单 击 “ 下 一 步 ”按钮 。 

图 ”指定 驱动 器 号 ， 选 中 “快速 格式 化 ” 复 选 框 ， 单 击 “ 下 一 步 ”按钮 ， 完 成 带 区 卷 创建 。 
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图 11-63 创建 带 区 卷 图 11-64 选择 磁盘 并 指定 大 小 


11.5.6” 跨 区 卷 管理 


示例 : 创建 跨 区 卷 。 

@ 如 图 11-65 所 示 ， 右 击 动态 磁盘 未 分 配 空间 ， 从 弹出 的 快捷 菜单 中 选择 “新 建 跨 区 卷 ”命令 。 

@@ 如 图 11-66 所 示 ， 单 击 添加 磁盘 1、 磁盘 2、 磁 盘 3。 指 定 使 用 每 个 磁盘 的 空间 ， 单 击 “ 下 一 步 ” 
按钮 。 


图 11-65 创建 跨 区 卷 图 11-66 选择 磁盘 和 指定 大 小 
@ ”指定 驱动 器 号 ， 选 中 “快速 格式 化 ” 复 选 框 ， 单 击 “ 下 一 步 ”按钮 。 如 图 11-67 所 示 ,F 卷 是 创 
建 好 的 跨 区 卷 。 
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图 11-67 创建 的 跨 区 卷 


11.5.7 ”使 用 卷 的 原则 


使 用 卷 应 遵循 如 下 几 个 原则 。 

于 ”如 果 存 放 的 数据 非常 重要 ， 但 数据 量 不 是 很 大 ， 应 创建 镜像 卷 存储 。 比 如 一 些 财务 报表 、 销 售 数 
据 、 客 户 资料 等 。 

于 ”如果 存 放 的 数据 非常 重要 ， 且 数据 量 很 大 ， 为 了 充分 利用 磁盘 空间 ， 并 且 还 要 有 宛 余 ， 应 创建 
RAID-5 卷 存 储 ， 比 如 数据 库 文件 。 

于 ”如果 存 储 的 数据 不 是 很 重要 ， 并 且 有 备份 ， 为 了 获得 较 好 的 读 写 性 能 ， 应 创建 带 区 卷 存储 ， 比 如 
流 媒体 服务 器 上 的 视频 文件 。 

里 “为 了 将 多 个 动态 磁 往 的 零散 的 磁 种 空间 整合 成 一 个 较 大 的 卷 ， 应 创建 跨 区 卷 。 


11.6 ”动态 磁盘 灾难 恢复 


以 下 试验 将 会 演示 磁盘 2 坏 掉 后 ， 添 加 一 块 新 的 磁盘 newDisk， 然 后 修复 RAID-5 和 镜像 卷 。 并 能 够 
看 到 带 区 卷 已 经 没有 办 法 修复 。 

如 图 11-68 所 示 , 创建 RAID-5 卷 DD 卷 ， 带 区 卷 F 卷 , 镜像 卷 G 卷 。 使 用 的 磁盘 空间 如 图 11-68 所 示 。 
通过 在 各 个 卷 创建 文件 来 验证 坏 掉 磁 盘 2 后 ， 哪 些 卷 还 能 够 访问 ， 且 文件 不 丢失 。 


图 11-68 创建 好 的 动态 卷 
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11.6.1 ”模拟 磁盘 灾难 


以 下 步骤 将 会 删除 磁盘 2， 然 后 添加 一 个 新 的 磁盘 。 

@ 关闭 FileServer。 

@ 单 击 Edit virtual machine settings。 如 图 11-69 所 示 , 在 出 现 的 对 话 框 中 ,选中 SecondDisk.vmdk， 
单 击 Remove。 删 除 一 块 硬盘 ， 模 拟 硬盘 坏 掉 。 

@ 如 图 11-69 所 示 ， 单 击 Add 按钮 。 


图 11-69 删除 磁盘 
@ 如 图 11-70 所 示 ， 在 出 现 的 Add Hardware Wizard( 添 加 硬件 向 导 ) 对 话 框 中 选中 Hard Disk， 单 
击 Next 按钮 。 
回 如 图 11-71 所 示 ， 在 Select a Disk 界面 中 选中 Create a new virtual disk 单 选 按钮 ， 单 击 Next 按 
钮 。 
Hardware Type Sdedt a Disk 
What type of hardware do yeu want to indal? Which disk do you want this drve to use? 
Hardware types Explanation Dek 
Addahar dak Sedearew 
DVD/CD-ROM Drve A vtual diek ie cemposed of ， bse et 
Roppy Drve ppear as a single hard disk to the guest operating system. Vitual 
Ehemet Adapter ‘ashy be copied er moved on the same hod or between hods 
人 © Use an istng vitual disk 
soma Por Ohooee this option to reuse 3 provously configured diek 
Parallel Pot © Lse a physical dsk for advanced users) 
Generc SCsl Device Choose this option to givethe vitual machne direct accessto alocal hard disk. 
CB | Eleaza [se [Coe ] 
图 11-70 ”添加 硬件 图 11-71 创建 一 个 新 的 硬盘 


如 图 11-72 所 示 ， 在 出 现 的 Select a Disk Type 界面 中 选中 IDE 单 选 按钮 ， 单 击 Next 按钮 。 
如 图 11-73 所 示 ， 在 出 现 的 Specify Disk File 界面 中 输入 新 的 磁盘 文件 名 称 ， 单 击 Next。 模 拟 添 


G @ 
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四 EE 
加 了 一 块 新 的 硬盘 。 


Sciect a Disk Type 
What kind df disk dh you want to ceate? 


Specily Disk File 
Where would you ke to store rfomation about ths disk? 


Tree dac fle wi tore panion 2scest corfgurton iorthe eelected physcal dk = 
soecfed for this vitual machne 


Te wa owee 


图 11-72 ”选择 磁盘 类 型 图 11-73 ”指定 磁盘 类 型 
如 图 11-74 所 示 ， 在 Specify Disk Capacity 界面 中 输入 磁盘 大 小 40， 单 击 Finish 按钮 。 


Specify Disk Capacity 
How large do you wart this daktobe7 
Disk capacty 


Tha wtual disk can never be larger than the maamum capacty that you set here 


Disk gze (G8) 各 除 


© ocate al disk space now. 
By alocating the ful capschy of the vetual disk. you enhance perfomance of 
CITY hochine Homever the dsk wa tae longer to Croke and there must 
be enough space on the host's physcal dsk 
[Deu do rot shocate dk pce pow your wtus dak fles wel tor em then 
become larger as you 24d applcations 人 ies and data to your wrtual machne 


sok dsk nto 2 GB fies 


[sex | Cam Len 


图 11-74 指定 磁盘 大 小 


11.6.2 ”修复 镜像 卷 和 RAID-5 


以 下 步骤 将 会 演示 将 RAID-5 和 镜像 卷 恢复 ， 确 认 带 区 卷 的 失败 。 

启动 FileServer。 

以 管理 员 身 份 登录 ， 单 击 桌面 上 的 “计算 机 ”图 标 ， 如 图 11-75 所 示 ， 可 以 看 到 RAID-5 的 卷 D、 
镜像 卷 G 依然 能 够 看 见 ， 并 能 够 打开 使 用 。 

打开 服务 器 管理 器 ， 展 开 “ 存 储 ” 一 “磁盘 管理 ”节点 。 

如 图 11-76 所 示 ， 在 出 现 的 “初始 化 磁盘 ”对 话 框 中 ， 选 中 MBR 单 选 按钮 ， 单 击 “ 确 定 ” 按 钮 。 
如 图 11-77 所 示 ， 可 以 看 到 丢失 的 磁盘 、 新 加 的 磁盘 2 以 及 失败 的 带 区 卷 。 可 以 看 到 RAID-5 卷 
DD， 状态 是 “失败 的 重复 ”， 带 区 卷 的 状态 是 “失败 ”， 镜 像 卷 G 的 状态 是 “失败 的 重复 ”。 
如 图 11-78 所 示 ， 右 击 D 卷 ， 从 弹出 的 快捷 菜单 中 选择 “修复 卷 ” 命 令 。 


@ @eg@o ©o 
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图 11-77 失败 的 卷 图 11-78 修复 卷 RAID-5 


如 图 11-79 所 示 ， 在 出 现 的 对 话 框 中 选中 磁盘 2， 单 击 “ 确 定 ”按钮 。 

如 图 11-80 所 示 ， 在 出 现 的 提示 框 中 单 击 “ 是 ”按钮 ， 将 磁盘 2 转换 成 动态 磁盘 。 

如 图 11-81 所 示 ， 可 以 看 到 RAID-5 D 卷 的 状态 已 经 变 成 “状态 良好 ”。 

如 图 11-82 所 示 ， 右 击 镜像 卷 ， 从 弹出 的 快捷 菜单 中 选择 “删除 镜像 ”命令 。 

如 图 11-83 所 示 ， 在 “删除 镜像 ”对 话 框 中 选中 丢失 的 磁盘 ， 单 击 “ 删 除 镜像 ”按钮 ， 在 出 现 的 
提示 框 中 单 击 “ 是 ”按钮 。 

如 图 11-84 所 示 ， 右 击 简 单 卷 G， 从 弹出 的 快捷 菜单 中 选择 “添加 镜像 ”命令 。 

如 图 11-85 所 示 ， 在 出 现 的 “添加 镜像 ”对 话 框 中 选中 磁盘 2， 单 击 “ 添 加 镜像 ”按钮 。 

如 图 11-86 所 示 ， 可 以 看 到 ， 镜 像 卷 G 的 状态 为 “状态 良好 ”。 

如 图 11-87 所 示 ， 右 击 失败 的 带 区 卷 ， 在 弹出 的 快捷 菜单 中 选择 “删除 卷 ” 命 令 。 在 出 现 的 提 
示 框 中 ， 单 击 “ 是 ”按钮 。 


S@S868 e80009 
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图 11-81 修复 好 的 RAID-5 图 11-82 ”删除 镜像 


图 11-83 ”选中 丢失 的 盘 图 11-84 ”添加 镜像 
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图 11-85 选择 磁盘 图 11-86 修复 好 的 RAID-1 


吧 ”关闭 服务 器 管理 器 ， 再 次 打开 。 
@ 如 图 11-88 所 示 ， 右 击 丢失 的 磁盘 ， 从 弹出 的 快捷 菜单 中 选择 “删除 磁盘 ”命令 。 


en we em cE ep mm 


We 
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图 11-87 删除 失败 的 带 区 卷 图 11-88 ”删除 丢失 的 磁盘 


11.7 ”远程 管理 Windows Server Core 的 磁盘 


在 Windows Server Core 的 操作 系统 上 没有 图 形 界面 的 管理 工具 来 管理 磁盘 ， 而 使 用 命令 行 创建 和 管 
理 动态 磁盘 有些 复 杂 ， 现 在 介绍 使 用 其 他 服务 器 上 的 磁盘 管理 工具 管理 Windows Server Core 的 磁 松 。 


ProfileServer 是 安装 了 Windows Server Core 的 文件 服务 器 。 下 面 将 会 演示 如 何 使 用 Research 计算 
机 上 的 磁盘 管理 工具 管理 ProfileServer 的 磁盘 。 


@ 关闭 ProfileServer。 
@ 添加 两 块 40 MB 的 IDE 接口 的 硬盘 。 
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图 ”启动 ProfileServer、DCserver 和 Research。 

@ ”以 域 管理 员 身 份 登录 到 Research 计算 机 。 

回 选择 “开始 ”一 “运行 ”命令 ， 在 出 现 的 “运行 ”对 话 框 中 输入 mmc， 单 击 “ 确 定 ” 按 钮 。 

如 图 11-89 所 示 ， 在 打开 的 控制 台 窗 口 ， 选 择 “ 文 件 ” 一 “添加 \ 删 除 管理 单元 ”命令 。 

@ 如 图 11-90 所 示 ， 在 出 现 的 “添加 /删除 管理 单元 ”对 话 框 中 ， 选 中 “磁盘 管理 ”， 单 击 “ 添 加 ” 
按钮 。 

如 图 11-90 所 示 ， 在 “选择 计算 机 ”界面 中 ， 选 中 “以 下 计算 机 ” 单 选 按钮 ， 输 入 Profileserver， 
单 击 “ 完 成 ”按钮 。 


人 ee Wow teem sc wn rm 
sO DD evyln OTe 
F me ELT Psa 2 


EF 
occmw 
图 11-89 ”添加 删除 管理 单元 图 11-90 选择 磁盘 管理 


@ 如 图 11-91 所 示 , 单 击 “磁盘 管理 ”按钮 ,在 出 现 的 “初始 化 磁盘 ”对 话 框 中 选中 磁盘 0 和 磁盘 1， 
选中 MBR 单 选 按钮 ， 单 击 “确定 ”按钮 。 

明明 已 经 初始 化 过 了 ， 但 是 我 们 发 现 磁盘 0 和 磁盘 1 提示 还 是 没有 初始 化 。 这 是 因为 状态 没有 刷 
新 过 来 ， 必 须 保存 管理 工具 ， 再 次 打开 才能 刷新 ， 如 图 11-92 所 示 。 


Wedom Hop 
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图 11-91 初始 化 磁盘 11-92 ”刷新 状态 
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@@ 如 图 11-93 所 示 ， 选 择 “ 文 件 ”一 “保存 ”命令 ,输入 profileServerDiskManager， 单 击 “ 保 存 ” 
按钮 。 

中 如 图 11-94 所 示 ， 关 闭 这 个 管理 工具 ， 选 择 “ 开 始 ” 一 “程序 ”一 “管理 工具 ”一 
ProfileServerDiskManager 命令 ， 可 以 看 到 磁盘 的 状态 已 经 是 “联机 ”。 


He Ed Vow MTeam acE Wedows He tte Wee We eam ME 


Wndors Help 
a i ELEji=lsl = = nO EFTTA II MT: TJlel.:| 
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图 11-93 ”保存 管理 工具 图 11-94 ”磁盘 状态 


四 ”以 后 就 可 以 像 管理 本 地 磁 答 一 样 管理 Windows Server Core 上 的 磁盘 了 。 如 果 你 发 现 你 的 操作 没 
有 生效 ， 需 要 关闭 管理 工具 ， 然 后 再 次 打开 ， 就 能 看 到 变化 了 。 
外 ”如 图 11-95 所 示 ， 已 将 磁盘 0 和 磁盘 1 创建 了 一 个 镜像 卷 E。 


Me Co Vw WW Tem ME Wndom Hp 
sO SD SeI9le OEDlOo 


图 11-95 创建 分 区 格式 化 分 区 


加 ”将 基本 磁极 转换 成 动态 磁盘 ， 重 新 打开 管理 工具 。 
四 ”创建 镜像 卷 ， 重 新 打开 管理 工具 。 
@O ”指定 盘 符 ， 重 新 打开 管理 工具 。 现 在 你 终于 可 以 看 到 创建 好 的 镜像 卷 了 。 
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11.8 ”动态 磁盘 迁移 


如 果 FileServer 主板 坏 掉 了 ， 需 要 将 3 块 动态 磁盘 接 到 Research 服务 器 上 。 

该 运行 Research 的 计算 机 必须 将 这 几 个 动态 磁盘 上 的 镜像 卷 和 RAID-5 卷 同 步 ， 用 户 才能 使 用 。 

@ 关闭 FileServer。 

加 单 击 Edit virtual machine settings， 如 图 11-96 所 示 ， 在 出 现 的 Virtual Machine Settings 对 话 框 
中 选中 FirstDisk.vmdk， 单 击 Remove 按钮 。 


图 11-96 ”删除 磁盘 


图 选中 NewDisk.vmdk， 单 击 Remove 按钮 。 

@ 选中 thirdDisk.vmdk， 单 击 Remove 按钮 。 

回 ”如 图 11-97 所 示 , 切换 到 Research 选项 卡 , 单 击 Edit virtual machine settings, 在 出 现 的 Virtual 
Machine Settings 对 话 框 中 选中 CD-ROM， 单 击 Remove 按钮 。 

[Die We weir i i En 
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图 11-97 ”删除 光驱 
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如 图 11-97 所 示 ， 单 击 Add 按钮 。 
@ ”如 图 11-98 所 示 ， 在 出 现 的 Hardware Type 界面 中 ， 选 中 Hard Disk， 单 击 Next 按钮 。 
如 图 11-99 所 示 , 在 出 现 的 Select a Disk 界面 中 , 选中 Use an existing virtual disk 单 选 按钮 ， 单 
击 Next 按钮 。 
Ei i 
bis | 
| @ se conmdler Chocsethis option to reuse a previousy coniigured disk. 
上 eth © Use a physcal disk foradranced eer) 
EE Chocsethis option to ovethe vitual machine dred accessto a lccal hard disk. 
EP [cBack | Mea> ] | Cancel 
图 11-98 添加 硬盘 1 11-99 ”添加 硬盘 2 
@ 如 图 11-100 所 示 ， 在 Specify Disk File 界面 中 ， 单 击 Browse 按钮 ， 浏 览 到 FileServer 虚拟 机 所 
在 的 目录 ， 选 中 FirstDisk.vmdk， 单 击 Finish 按钮 。 
以 同样 的 方法 添加 NewDisk.vmdk 和 ThirdDisk.vmdk。 
四 启动 Research。 
四 如 图 11-101 所 示 ， 打 开 服务 器 管理 器 ， 展开“ 存储 ”一 “磁盘 管理 ”节点 。 可 以 看 到 镜像 卷 和 
RAID-5 卷 提示 “失败 的 重复 ”。 
四 如 图 11-101 所 示 ， 磁 各 1 还 有 回 提 示 。 
Speciy Disk File 


Where would you ike to sore rfomaton abouttha dsk? 


Due fie 
Thie dak fl wll ore partiion accos corfiguraion forthe salected pryscs dak aa 
peciied for the vitual nachme 


BaconeN aa 


[ae Cs] Can] 
图 11-100 浏览 到 磁盘 图 11-101 磁盘 1 未 激活 


外 ”如 图 11-102 所 示 ， 右 击 磁盘 1， 从 弹出 的 快捷 菜单 中 选择 “重新 激活 磁盘 ”命令 。 
四 ”如 图 11-103 所 示 ， 可 以 看 到 ， 重 新 激活 过 程 ， 就 是 镜像 卷 和 RAID-5 同步 的 过 程 。 
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图 11-103 激活 RAID-5 
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可 以 在 服务 器 上 启用 远程 桌面 来 远程 管理 服务 
器 ， 不 需要 购买 许可 证 ， 但 只 能 并 发 连接 两 个 会 话 。 

如 果 打 算 让 更 多 的 人 使 用 服务 器 上 的 程序 ， 需 要 
在 服务 器 上 安装 终端 服务 ， 连 接 的 用 户 数量 由 终端 服 
务 授权 服务 器 颁发 的 终端 服务 许可 证 数量 决定 。 

配置 终端 服务 器 安全 ， 人 允许 一 个 用 户 有 多 个 终端 
会 话 ， 将 本 地 资源 映射 到 远程 桌面 ， 在 域 环 境 中 配置 
单 登录， 

配置 终端 服务 ， 发 布 RemoteAPP， 在 客户 端 使 用 
终端 服务 发 布 的 应 用 程序 。 

客户 机 使 用 DMZ 区 网 络 中 的 终端 服务 网 关 访 问 内 
网 的 安装 终端 服务 器 和 启用 了 远程 桌面 的 服务 器 。 这 
样 客户 端 可 以 使 用 SSL 协议 访问 到 DMZ 区 的 TS 网 关 ， 
TS 网 关 再 使 用 RDP 协议 访问 内 网 的 服务 器 。 

TS Session Broke 是 Windows Server 2008 中 的 新 
特性 ， 是 用 于 终端 服务 的 Microsoft Network Load 
Balancing 更 简单 的 一 个 替代 产品 ， 终 端 服 务 器 不 局 限 
于 一 个 网 段 。 


和 @ 关键 词 


使 用 远程 桌面 管理 服务 器 

启用 Windows Server Core 的 远程 
桌面 

将 本 地 资源 映射 到 远程 服务 器 

在 域 环境 中 配置 远程 桌面 的 单一 
登录 

配置 终端 服务 器 安全 

终端 服务 

安装 并 激活 终端 服务 授权 

安装 终端 服务 

配置 和 使 用 终端 服务 器 的 
RemoteApp 

配置 终端 服务 网 关 

使 用 终端 服务 网 关连 接 到 内 网 的 
终端 服务 

配置 终端 服务 器 场 实现 终端 服务 
负载 均衡 
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本 章 的 实战 环境 如 图 12-1 所 示 。 
目标 


学 会 在 服务 器 上 启用 远程 桌面 。 

授权 用 户 使 用 远程 桌面 连接 到 服务 器 。 

能 够 在 远程 桌面 配置 客户 端 。 

能 够 配置 远程 桌面 属性 。 

能 够 在 服务 器 上 安装 终端 服务 器 授权 。 

能 够 激活 终端 服务 授权 。 

学 会 在 服务 器 上 安装 终端 服务 。 

配置 并 使 用 终端 服务 器 的 RemoteApp。 

能 够 配置 终端 服务 网 关 。 

能 够 使 用 终端 服务 网 关连 接 到 终端 服务 和 远程 桌面 。 
能 够 配置 终端 服务 器 场 实现 终端 服务 负载 均衡 。 


Workgroupserver 
使 用 https 连 按 
天 程 用户。 到 终端 服务 由 关 | 


DMZ 
终端 服务 网 关 
启用 运程 桌面 


图 12-1 实战 环境 


操作 系统 


DCServer 是 Ess.com 域 中 的 域 控 制 器 ， 安 装 Windows Server 2008 企业 版 操作 系统 。 
FileServer 是 Ess.com 域 中 的 应 用 程序 服务 器 ， 安 装 Windows Server 2008 企业 版 操作 系统 。 
Research 是 Ess.com 域 中 的 成 员 ， 安 装 Windows Server 2008 企业 版 操作 系统 。 
ProfileServer 是 Ess.com 域 中 的 文件 服务 器 ， 安 装 Windows Server Core 系统 。 
WorkgroupServer 是 工作 组 中 的 计算 机 ， 安 装 Windows Server 2008 企业 版 操作 系统 。 


网 络 环境 


和 ”Research 计算 机 处 于 DMZ 区 。 
WorkgroupServer 处 于 Internet。 
mm FileServer、Sales、ProfileServer 和 DC 处 于 内 网 。 


”网络 管理 员 需 要 使 用 Sales 计算 机 远程 管理 Research 服务 器 。 

和 ”网 络 管理 员 需 要 使 用 Sales 计算 机 远程 管理 Sales 服务 器 。 

至。 FileServer 服务 器 安装 有 公司 的 测试 软件 ， 很 多 用 户 需 要 使 用 FileServer 上 的 软件 。 
”在 Research 服务 器 上 安装 终端 服务 网 关 。 


12.2 ”使 用 远程 桌面 管理 服务 器 


使 用 远程 桌面 管理 [Remote Desktop for Administration)， 可 以 从 一 个 位 置 来 管理 一 台 或 多 台 远 程 计算 
机 。 在 一 个 大 规模 的 组 织 中 ， 可 以 使 用 远程 管理 来 集中 化 地 管理 多 台 位 于 不 同 建筑 物 甚至 位 于 不 同城 市 的 
计算 机 ;而 在 一 个 小 规模 的 组 织 中 ， 可 以 利用 远程 管理 来 管理 位 于 邻近 办 公 室 中 的 单 台 服 务 器 。 

远程 桌面 管理 通过 使 用 RDP(Remote Desktop Protocol， 远 程 桌面 协议 ) 来 实现 从 位 于 一 个 位 置 的 计算 
机 访问 位 于 另 一 个 位 置 的 服务 器 的 功能 。RDP 将 用 户 接口 传输 到 客户 端 会 话 ， 还 可 将 键盘 和 鼠标 的 单 击 从 
客户 端 传输 到 服务 器 。 远 程 桌面 不 需要 购买 连接 许可 ， 最 多 可 同时 创建 两 个 远程 连接 。 所 有 登录 的 会 话 都 
独立 于 其 他 客户 端 会 话 和 服务 器 控制 台 会 话 。 如 图 12-2 所 示 ， 当 我 们 使 用 远程 桌面 管理 远程 登录 到 服务 器 
时 ， 就 如 同 在 本 地 登录 一 样 。 


2 
1 用 
属 
本 计算 机 
2 远程 ( 主 ) 计 算 机 
两 台 计 算 机 之 间 的 远程 桌面 连接 


图 12-2 远程 桌面 


12.2.1 使 用 远程 桌面 管理 的 好 处 


远程 桌面 管理 是 一 项 方便 、 高 效 的 服务 ， 通 过 远程 桌面 管理 可 以 极 大 降低 与 远程 管理 有 关 的 费用 。 例 
如 ， 我 们 可 以 通过 远程 桌面 管理 允许 多 个 管理 员 管理 多 台 远 程 服务 器 。 
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远程 桌面 管理 允许 我 们 启动 服务 器 上 的 一 个 新 的 远程 会 话 ， 或 者 远程 接收 在 一 台 服 务 器 上 的 控制 台 会 
话 。 然 而 ， 同 一 时 刻 在 一 台 服务 器 上 只 能 运行 一 个 控制 台 会 话 。 例 如 ， 当 你 远程 登录 一 个 控制 台 时 ， 己 有 
一 个 管理 员 登 录 到 该 控制 台 ， 那 么 你 将 无 法 登录 到 该 控制 台 。 

使 用 远程 桌面 管理 可 以 提供 以 下 一 些 好 处 。 

里 ”支持 对 Windows Server 2008 的 完全 管理 。 使 用 远程 桌面 连接 ， 系 统管 理 员 可 以 从 运行 Windows 

Server 2008 或 以 前 版 本 的 Windows 操作 系统 (Windows 95/98、Windows 2000、Windows XP 或 
Vista) 的 计算 机 上 来 完全 管理 运行 Windows Server 2008 的 计算 机 。 

”从 任意 位 置 访问 服务 器 。 使 用 远程 桌面 管理 , 我 们 可 以 在 世界 上 的 任何 地 点 ,通过 广域网 (WAN)、 

虚拟 专用 网 络 (VPN] 或 拨号 连接 来 访问 远程 服务 器 。 
”访问 配置 设置 。 使 用 远程 桌面 管理 ， 可 以 远程 访问 服务 器 的 大 多 数 的 配置 设置 ， 包 括 控制 面板 。 
使 用 远程 桌面 会 话 ， 我 们 可 以 访问 MMC、Active Directory、Microsoft 系统 管理 服务 器 、 网 络 配 
置 工具 和 大 多 数 的 其 他 管理 工具 。 

和 ”诊断 故障 和 测试 解决 方案 。 使 用 远程 桌面 管理 , 我 们 可 以 快速 地 诊断 客户 计算 机 和 服务 器 的 故障 ， 
并 可 以 测试 所 采取 的 解决 方案 。 

”执行 耗 时 的 批量 管理 工作 。 使 用 远程 桌面 管理 ， 我 们 可 以 远程 执行 耗 时 的 批 处 理 的 管理 工作 ， 例 
如 磁带 备份 。 

”远程 更 新 服务 器 操作 系统 和 应 用 程序 。 通 过 远程 桌面 管理 我 们 可 以 远程 地 更 新 服务 器 应 用 程序 。 


12.2.2 ”启用 远程 桌面 


系统 管理 员 可 以 使 用 远程 桌面 来 执行 远程 管理 任务 。 例 如 : 可 以 在 远程 服务 器 上 安装 软件 或 服务 包 。 
在 用 远程 桌面 管理 远程 服务 器 之 前 ， 远 程 服务 器 必须 在 本 地 端 启用 远程 桌面 。 
1. 在 服务 器 上 启用 远程 桌面 
@ 右 击 桌面 上 的 “计算 机 ”图 标 ， 从 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 在 打开 的 “系统 ”对 话 
框 中 单 击 “远程 设置 ”选项 。 
@ 如 图 12-3 所 示 ， 在 “系统 属性 ”对 话 框 的 “远程 ”选项 卡 中 ， 选 中 “允许 运行 任意 版 本 远程 桌面 
的 计算 机 连接 ” 单 选 按钮 。 


图 12-3 ”启用 远程 桌面 
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单 击 “ 选 择 用 户 ” 按 钮 。 

如 图 12-4 所 示 ， 在 出 现 的 “远程 桌面 用 户 ” 对 话 框 中 ， 单 击 “ 添 加 ”按钮 。 

如 图 12-4 所 示 ， 在 出 现 的 “选择 用 户 或 组 ”对 话 框 中 ， 输 入 han， 单 击 “ 检 查 名 称 ” 按 钮 ， 单 才 
“确定 ”按钮 。 

如 图 12-5 所 示 ， 等 同 于 在 Remote Desktop Users 组 添加 han 用 户 。 


Et 


加 @EOQ 


注意 : 可 以 允许 使 用 运行 带 网 络 级 身份 验证 (NLA) 的 远程 桌面 或 TS RemoteApp 版 本 计算 机 的 人 连接 
到 你 的 计算 机 。 如 果 你 知道 将 要 连接 到 你 计算 机 的 人 在 其 计算 机 上 运行 Windows Vista, 这 是 最 安全 的 选 
择 。 (在 Windows Vista 中 ， 远 程 桌面 使 用 NLA) 


Te eat we We Toem AcE wadow Hp 
CHIe ET LT: elels) 


Ho on Vow a Teom ACE Wndows rap 
是 由 国 直 :每 丙 硒 售 舍 入 六 | 罗 司 加 日 | 吕 回 较 
YE EF a PD Te 


12-4 ”添加 用 户 到 Remote Desktop Users 组 12-5 ”查看 Remote Desktop Users 组 成 员 


2. 什么 是 网 络 级 身份 验证 

网 络 级 身份 验证 (NLA) 是 一 种 新 的 身份 验证 方法 , 在 用 户 建 立 所 有 远程 桌面 连接 之 前 完成 用 户 身 份 验 
证 ， 并 出 现 登 录 屏 幕 。 这 是 最 安全 的 身份 验证 方法 ， 有 助 于 保护 远程 计算 机 避免 黑客 或 恶意 软件 的 攻击 。 
NLA 的 优点 如 下 。 

”最 初 需要 较 少 的 远程 计算 机 资源 。 验 证 用 户 之 前 ， 远 程 计算 机 使 用 有 限 的 资源 ， 而 不 是 像 以 前 版 

本 那样 启动 所 有 远程 桌面 连接 。 
和 可 以 通过 减少 拒绝 服务 攻击 (试图 限制 或 阻止 访问 Internet) 来 帮助 提供 更 高 的 安全 。 
于 使 用 远程 计算 机 身份 验证 ， 从 而 帮助 用 户 避 免 连接 到 设置 为 恶意 目的 的 远程 计算 机 。 


12.2.3 ”启用 Windows Server Core 远程 桌面 


@ ”以 域 管理 员 身 份 登录 到 安装 Windows Server Core 操作 系统 的 ProfileServer， 如 图 12-6 所 示 。 
@) 在 命令 提示 符 下 ， 输 入 cd\， 按 Enter 键 。 

@@ 输入 cd windows\system32， 按 Enter 键 。 

@ 输入 cscript SCregEdit.wsf /Ar 0， 按 Enter 键 。 

回 输入 netsh firewall add portopening tcp 3389 Remote-Desktop， 按 Enter 键 。 
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12-6 启用 远程 桌面 打开 防火 墙 端口 
12.3 ”使 用 远程 桌面 连接 连接 到 其 他 计算 机 


使 用 远程 桌面 连接 ， 可 以 从 一 台 运 行 Windows 的 计算 机 访问 另 一 台 运行 Windows 的 计算 机 ， 条 件 
是 两 台 计 算 机 连接 到 相同 网 络 或 连接 到 Internet。 例 如 ， 可 以 在 家 中 的 计算 机 使 用 所 有 工作 的 计算 机 的 程 
序 、 文 件 及 网 络 资源 ， 就 像 坐 在 工作 场所 的 计算 机 前 一 样 。 

若 要 连接 到 远程 计算 机 ， 该 计算 机 必须 为 开启 状态 ， 必 须 具 有 网 络 连接 ， 远 程 桌面 必须 可 用 ， 必 须 能 
够 通过 网 络 访问 该 远程 计算 机 (可 通过 Internet 实现 )， 还 必须 具有 连接 权限 。 若 要 获取 连接 权限 ， 你 必须 
位 于 用 户 列 表 中 。 下 面 介绍 如 何 将 名 称 添加 到 该 列表 中 。 


(@) 注意 : 不 能 使 用 远程 桌面 连接 连接 到 运行 Windows Vista Starter、Windows Vista Home Basic、Windows 
Vista Home Basic N 或 Windows Vista Home Premium 的 计算 机 , 只 能 从 这 些 版 本 的 Windows Vista 创建 
接 出 连接 。 无 法 使 用 远程 桌面 连接 连接 到 运行 Windows XP Home Edition 的 计算 机 。 


12.3.1 连接 到 服务 器 的 远程 桌面 


在 Sales 计算 机 上 ， 连 接 到 Research 的 远程 桌面 。 

中 ”如 图 12-7 所 示 ， 选 择 “ 开 始 ” 一 “程序 ”一 “附件 ”一 “远程 桌面 连接 ”命令 ， 或 选择 “开始 ”一 

“运行 ”命令 ， 在 出 现 的 “运行 ”对 话 框 中 输入 mstsc， 单 击 “ 确 定 ”按钮 。 

@ 如 图 12-8 所 示 ， 在 “远程 桌面 连接 ”对 话 框 中 ， 输 入 research， 单 击 “ 连 接 ” 按 钮 。 

图 如 图 12-8 所 示 ， 在 出 现 的 “输入 您 的 凭据 ”界面 中 ,输入 账号 和 密码 ， 选 中 “ 记 住 我 的 凭据 ” 复 
选 框 ， 单 击 “ 确 定 ”按钮 。 

田 ”如 图 12-9 所 示 ， 远 程 桌 面 连接 成 功 ， 可 以 看 到 Research 计算 机 上 的 桌面 。 

回 ”如 图 12-10 所 示 ， 选 择 “ 控 制 面板 ”一 “用 户 帐 户 ” 一 “管理 网 络 密码 ”命令 ， 可 以 看 到 已 经 自 
动 存储 了 访问 Research 服务 器 的 账号 和 密码 。 
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12-8 ”输入 账号 和 密码 
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12-9 ”远程 桌面 12-10 ”存储 的 账号 和 密码 


12.3.2 ”将 资源 映射 到 远程 服务 器 

用 户 在 Sales 计算 机 上 办 公 ， 在 使 用 远程 桌面 管理 Research 计算 机 时 ， 需 要 用 到 Sales 计算 机 磁盘 上 
的 一 些 文件 。 

将 本 地 磁盘 映射 到 远程 服务 器 


Q 如 图 12-11 所 示 ， 选 择 “ 开 始 ” 一 “注销 ”命令 ， 结 束 远程 桌面 连接 。 

@@ 如 图 12-12 所 示 ， 打 开 远 程 桌 面 客户 端 ， 单 击 “ 选 项 ”按钮 。 

@ 如 图 12-13 所 示 ， 在 “本 地 资源 ”选项 卡 中 ， 可 以 看 到 本 地 打印 机 ， 剪 切 板 默认 能 够 在 远程 会 话 
外 


中 使 用 。 
单 击 “ 详 细 信息 ”按钮 ， 在 出 现 的 对 话 框 中 选中 驱动 器 C、D 和 “ 稍 后 连接 的 驱动 器 ”以 及 “ 支 
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图 12-11 注销 远程 桌面 登录 12-12 ”打开 远程 桌面 客户 端 选项 
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12-13 ”将 本 地 资源 映射 到 远程 服务 器 12-14 ”选择 映射 的 驱动 器 
图 12-15 所 示 , 在 出 现 的 提示 框 中 , 选中 “请 不 要 再 提示 我 连接 到 此 计算 机 ” 复 选 框 , 单 击 “ 是 ” 


D 盘 。 


如 
按 
如 
盘 
如 图 12-17 所 示 ， 将 U 盘 插 入 计算 机 ， 选 择 VM 一 Removable Devices 一 USB Devices 一 SIS 


钮 。 

图 12-16 所 示 ， 登 录 成 功 后 单 击 远程 桌面 中 的 计算 机 ， 可 以 看 到 映射 到 的 Sales 计算 机 上 的 C 
和 

图 

Removable Disk 命令 ， 将 U 盘 的 控制 权 交 给 Sales 计算 机 。 

如 图 12-18 所 示 ， 可 以 看 到 ， 在 Sales 本 地 刚刚 插入 的 U 盘 ， 在 远程 桌面 就 能 立刻 发 现 并 能 使 用 。 
如 


图 12-19 所 示 ， 选 择 远程 桌面 中 的 “开始 ”一 “设置 ”一 “打印 机 ”命令 ， 可 以 看 到 Sales 上 
的 打印 机 在 远程 桌面 可 用 ， 这 样 就 可 以 将 远程 桌面 的 打印 作业 发 送 到 Sales 计算 机 上 的 打印 设备 。 
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12-17 ”让 虚拟 机 控制 USB 接口 
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图 12-18 ”映射 的 本 地 U 盘 图 12-19 映射 的 本 地 打印 机 
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如 图 12-20 所 示 ， 右 击 远程 桌面 上 的 一 个 文件 ， 从 弹出 的 快捷 菜单 中 选择 “复制 ”命令 。 


加 如 图 12-21 所 示 


将 远程 桌面 的 文件 直接 复制 、 粘 贴 到 本 地 计算 机 。 


， 右 击 Sales 计算 机 的 桌面 ， 从 弹出 的 快捷 菜单 中 选择 “粘贴 ”命令 。 这 样 可 以 


12-20 ”复制 远程 桌面 资源 12-21 ”粘贴 到 本 地 


12.3.3 配置 终端 服务 单一 登录 


单一 登录 是 一 种 身份 验证 方法 ， 人 允许 具有 域 账户 的 用 户 使 用 密码 或 智能 卡 登录 一 次 ， 然 后 ， 不 再 要 求 
其 提供 凭据 即 可 访问 远程 服务 器 。 

若 要 在 终端 服务 中 实现 单一 登录 功能 ， 应 确保 满足 下 列 要 求 。 

里 “只 能 对 从 运行 Windows Vista 的 计算 机 到 运行 Windows Server 2008 的 终端 服务 器 的 远程 连接 
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使 用 单一 登录 ， 
Server 2008 的 有 


或 者 对 从 一 台 运行 Windows Server 2008 的 服务 器 到 另 一 台 运行 Windows 
有 有 务 器 的 远程 连接 使 用 单一 登录 。 


确保 用 于 登录 的 用 户 账户 具有 相应 的 权限 来 登录 到 终端 服务 器 和 Windows Vista 客户 端 计算 机 。 
于 “客户 端 计算 机 和 终端 服务 器 必须 已 加 入 域 。 

于 “将 运行 Windows Vista 的 计算 机 配置 为 允许 使 用 默认 凭据 登录 到 指定 的 服务 器 。 

使 单一 登录 使 用 默认 凭据 

@ 以 域 管理 员 的 账户 登录 到 Sales。 选 择 “ 开 始 ”一 “运行 ”命令 ， 在 出 现 的 “运行 ”对 话 框 中 输入 


gpedit.msc， 单 才 
在 左 侧 窗 格 中 ， 
如 图 12-22 所 示 
如 图 12-23 所 示 
示 ” 按 钮 。 


@G@ 晶 @@ 


#6“ 确定 ”按钮 ， 打 开本 地 组 策略 编辑 器 。 

展开 “计算 机 配置 ”一 “管理 模板 ”一 “系统 ”节点 ， 然 后 单 击 “ 和 凭据 分 配 ”。 
， 双 击 “ 人 允许 分 配 默 认 凭据 ”。 

， 在 属性 对 话 框 的 “设置 ”选项 卡 中 ， 选 中 “已 启用 ” 单 选 按 钮 ， 然 后 单 击 “ 显 


在 “显示 内 容 ” 对 话 框 中 ， 单 击 “ 添 加 ”按钮 ， 将 服务 器 添加 到 列表 中 。 
在 “添加 项 目 ”对 话 框 中 ， 在 “输入 要 添加 的 项 目 ” 文 本 框 中 ， 输 入 前 绥 termsrv/， 后 跟 终端 服 
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务 器 的 名 称 (例如 termsrv/Research)， 然 后 单 击 “确定 ”按钮 。 
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图 12-22 打开 凭据 分 配 图 12-23 添加 项 目 


@ 单 击 “ 确 定 ” 按 钮 ， 关 闭 属性 对 话 框 。 
删除 存储 的 网 络 密码 ， 如 图 12-24 所 示 ， 以 域 用 户 登 录 到 Sales， 再 使 用 远程 桌面 客户 端 连 接 就 不 
需要 再 次 输入 密码 了 。 


pe 
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12-24 ”删除 存储 的 网 络 凭据 


12.3.4 配置 终端 服务 连接 的 安全 设置 


什么 是 服务 器 身份 验证 选项 


在 远程 桌面 连接 中 ， 服 务 器 身份 验证 用 于 验证 用 户 是 否 连 接 到 正确 的 远程 计算 机 或 服务 器 。 此 安全 措 
施 有 助 于 防止 连接 到 非 预期 的 计算 机 或 服务 器 ， 以 及 由 此 增加 的 暴露 保密 信息 的 可 能 性 。 下 面 有 三 个 可 用 
的 身份 验证 选项 ， 如 图 12-25 所 示 。 
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12-25 ”服务 器 身份 验证 


于““ 始 终 连 接 ， 即 使 身份 验证 失败 ”( 最 不 安全 ]: 使 用 此 选项 ， 即 使 远程 桌面 连接 无 法 验证 远程 计 
算 机 的 身份 ， 它 仍然 会 连接 。 

于 ““ 如 果 身 份 验证 失败 则 向 我 发 出 警告 ”( 较 为 安全 ]: 使 用 此 选项 ， 如 果 远 程 桌面 连接 无 法 验证 远 
程 计算 机 的 身份 ， 则 发 出 警告 ， 用 户 可 以 选择 是 否 继续 连接 。 

时““ 如 果 身 份 验证 失败 则 不 连接 ”( 最 安全 ]: 使 用 此 选项 ， 如 果 远 程 桌面 连接 无 法 验证 远程 计算 机 
的 身份 ， 则 无 法 建立 连接 。 

Q@ 在 “高 级 ”选项 卡 中 选择 “身份 验证 失败 时 不 连接 ”选项 。 如 图 12-26 所 示 ， 在 “显示 ”选项 卡 
中 ， 选 中 “全 屏 显示 时 显示 连接 栏 ” 复 选 框 ， 单 击 “ 连 接 ” 按 钮 。 

@ ”如 图 12-27 所 示 ， 将 光标 移 到 顶端 ， 单 击 全 按钮 ， 可 以 看 到 “使 用 Kerberos 已 验证 远程 计算 机 
的 身份 。” 的 提示 。 


) 正在 准备 卓 面 


ET 


可 生生 下 雪人 


图 12-26 全 屏 连 接 图 12-27 身份 验证 已 经 通过 


如 果 不 确定 选择 哪个 选项 ， 请 向 系统 管理 员 或 远程 计算 机 的 所 有 者 询问 。 
运行 Windows Server 2003 Service Pack 1 (SP1) 或 更 早 版 本 操作 系统 的 远程 计算 机 不 能 提供 用 于 身 
份 验 证 的 身份 。 如 果 确认 远程 计算 机 运行 的 是 那些 早期 操作 系统 之 一 ， 则 可 通过 选择 “始终 连接 ， 即 使 身 
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份 验证 失败 ”避免 发 出 身份 验证 警告 。 


注意 : 如 果 希 望 永久 更 改 服务 器 身份 验证 选项 , 则 可 将 该 远程 计算 机 的 设置 保存 到 一 个 -rdp 文件 (该 文件 
包含 到 特定 远程 计算 机 的 连接 的 所 有 设置 ) 中 。 若 要 执行 此 操作 ， 应 在 远程 桌面 连接 中 选择 需要 的 身份 验 
证 级 别 ， 然 后 在 “常规 ”选项 卡 中 单 击 “ 保 存 ” 或 “另存 为 ”按钮 。 若 要 在 以 后 连接 到 同一 台 远程 计算 
机 ， 双 击 该 .rdp 文件 即 可 。 


12.4 配置 终端 服务 器 设置 


12.4.1 ”查看 连接 到 服务 器 远程 桌面 的 会 话 


在 Research 服务 器 上 ， 可 以 看 到 哪些 用 户 使 用 哪些 计算 机 使 用 远程 桌面 连接 到 服务 器 。 

如 图 12-28 所 示 ， 右 击 Research 计算 机 “开始 ”菜单 空白 区 域 ， 在 弹出 的 快捷 菜单 中 选择 “任务 管理 
器 ”命令 。 在 “Windows 任务 管理 器 ”对 话 框 的 “用 户 ” 选 项 卡 中 ， 可 以 看 到 使 用 远程 桌面 连接 过 来 的 
会 话 。 

在 命令 行 下 , 输入 netstat -n, 可 以 看 到 到 服务 器 的 远程 桌面 建立 的 会 话 。 远 程 桌 面 使 用 的 是 TCP 3389 
端口 。 
Tree "TE © Roceareh ~ Vmware Worksiation ACE Edton = 
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可 以 看 到 运程 各 而 客户 入 
立 的 到 服务 
P 协 议 他 用 的 足 TCP 的 
389 诡 品 
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图 12-28 ”查看 使 用 该 计算 机 的 用 户 图 12-29 查看 终端 服务 器 会 话 


12.4.2 ”更 改 远程 桌面 使 用 的 默认 端口 

从 安全 角度 考虑 ， 放 到 公 网 上 的 服务 器 最 好 将 远程 桌面 的 默认 端口 改 成 其 他 的 ， 这 样 入 侵 者 就 不 容易 
通过 端口 扫描 发 现 用 户 服务 器 开启 的 远程 桌面 服务 ， 从 而 使 用 户 减 少 受 攻击 的 机 会 。 

以 下 步骤 将 会 更 改 服务 器 的 远程 桌面 的 默认 端口 ， 并 且 在 高 级 Windows 防火 墙 创建 一 个 TCP 端口 号 
是 4000 的 入 站 规则 。 
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@ Windows Server 2008 二 二 二 二 二 


© 


@) 


四 


© 


It| | 加 本 


在 Research 计算 机 中 ， 选 择 “ 开 始 ” 一 “运行 ”命令 ， 在 弹出 
单 击 “确定 ”按钮 。 
打开 注册 表 编 辑 工 具 ， 依 次 


的 “运行 ”对 话 框 中 输入 regedit， 


展开 HKEY_LOCAL MACHINE\SYSTEM\CurrentControlSet\ 


Control\Terminal Server\WinStations\RDP-Tcp 节点 。 

12-30 所 示 ， 单 击 PortNumber 选项 ， 在 出 现 的 对 话 框 中 选中 “十 进 制 ” 单 选 按钮 ， 可 以 看 
3389， 改 成 4000， 单 击 “ 确 定 ” 按 钮 。 

12-31 所 示 ， 重 启 系统 ， 在 命令 提示 符 下 输入 netstat -a 查看 计算 机 侦 听 的 端口 。 可 以 看 到 
个 4000 端口 。 


jj 
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图 12-30 更改 注册 表 图 12-31 查看 侦 听 的 端口 


选择 “开始 ”一 “运行 ”命令 ， 在 弹出 的 “运行 ”对 话 框 中 输入 wfmsc， 打 开 高 级 Windows 防 
火 墙 。 


如 图 12-32 所 示 , 当 你 启用 远程 桌面 , Windows 自动 将 预 置 的 远程 桌面 入 站 规则 设置 成 启用 状态 。 
双击 该 规则 可 以 看 到 端口 是 3389， 且 不 能 改 。 只 能 创建 自己 的 入 站 规则 了 。 


如 图 12-33 所 示 ， 右 击 入 站 规则 ， 在 弹出 的 快捷 菜单 中 选择 “新 规则 ”命令 ， 在 出 现 的 对 话 框 中 ， 
选中 “端口 ” 单 选 按钮 ， 单 击 “ 下 一 步 ”按钮 。 
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图 12-32 ”默认 允许 远程 桌面 连接 的 规则 图 12-33 创建 新 规则 
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如 图 12-34 所 示 ， 在 出 现 的 “协议 和 端口 ”界面 中 ， 选 中 TCP 单 选 按钮 ， 选 中 “特定 本 地 端口 ” 
单 选 按钮 ， 输 入 4000。 单 击 “ 下 一 步 ” 按 钮 。 

如 图 12-35 所 示 ， 在 出 现 的 “操作 ”界面 中 ， 选 中 “人 允许 连接 ” 单 选 按钮 ， 单 击 “ 下 一 步 ” 
按钮 。 
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图 12-34 选择 协议 和 端口 图 12-35 选择 操作 


四 如 图 12-36 所 示 ， 在 出 现 的 “配置 文件 ”界面 中 ， 单 击 “ 下 一 步 ” 按 钮 。 
@ 如 图 12-37 所 示 ， 在 出 现 的 “名 称 ” 界 面 中 ， 输 入 RDP 4000， 单 击 “ 完 成 ”按钮 。 


图 12-36 选择 配置 文件 图 12-37 指定 规则 名 称 


四 如 图 12-38 所 示 ， 在 Vista 上 使 用 4000 端口 连接 Research 的 远程 桌面 。 在 远程 桌面 客户 端 输入 
research:4000， 单 击 “ 连 接 ” 按 钮 。 
四 如 图 12-39 所 示 ， 可 以 看 到 连接 时 ， 用 的 是 4000 端口 。 
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图 12-38 设置 4000 端口 连接 12-39 ”使 用 4000 端口 连接 


12.4.3 ”限制 用 户 只 能 进行 一 个 会 话 


为 了 提高 终端 服务 器 的 性 能 ， 可 以 限制 用 户 只 能 进行 一 个 会 话 (活动 或 已 断 开 )。 通 过 限制 用 户 在 终端 
服务 器 上 只 能 进行 一 个 会 话 ， 可 以 最 大 限度 地 减少 在 终端 服务 器 上 创建 的 远程 会 话 数 。 这 样 有 助 于 节省 终 
端 服 务 器 上 的 系统 资源 ， 因 此 ， 使 更 多 的 用 户 可 以 连接 到 终端 服务 器 。 

如 果 将 终端 服务 器 配置 为 限制 用 户 只 能 进行 一 个 会 话 ， 并 且 用 户 将 该 会 话 置 于 断 开 状 态 ， 用 户 下 次 连 
接 到 终端 服务 器 时 ， 将 自动 重新 连接 到 该 会 话 。 

默认 情况 下 ， 将 终端 服务 器 配置 为 限制 用 户 只 能 进行 一 个 会 i 

中 选择 “开始 ”一 “程序 ”一 “管理 工具 ”命令 ， 打 开 “ 终 端 服务 配置 ”窗口 。 

@ 在 “常规 ”选项 区 中 ， 双 击 “ 限 制 每 个 用 户 只 能 进行 一 个 会 话 ” 选 项 。 

@ 如 图 12-40 所 示 ， 在 “属性 ”对 话 框 的 “常规 ”选项 卡 中 ， 选 择 最 适合 用 户 环境 的 “限制 每 个 用 

户 只 能 进行 一 个 会 话 ”的 设置 ， 然 后 单 击 “ 确 定 ” 按 钮 。 
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图 12-40 ”限制 每 个 用 户 只 能 进行 一 个 会 话 
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注意 : 限制 每 个 用 户 只 能 进行 一 个 会 话 时 ， 如 果 在 Sales 计算 机 上 连接 Research 计算 机 的 远程 桌面 账号 和 
在 控制 台 登 录 的 账号 是 同一 个 账号 ， 会 自动 将 控制 台 登 录 的 用 户 注销 ， 如 图 12-41 所 示 。 如 果 控制 台 用 户 
登录 会 将 Sales 上 的 远程 桌面 断 开 。 
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12-41 注销 当前 用 户 


12.4.4 配置 服务 器 身份 验证 和 加 密级 别 


默认 情况 下 ， 终 端 服务 会 话 使 用 本 机 远程 桌面 协议 (RDP) 加 密 。 但 是 ，RDP 不 提供 身份 验证 来 验证 
终端 服务 器 的 身份 。 使 用 传输 层 安全 性 TLS 1.0 进行 服务 器 身份 验证 并 对 终端 服务 器 通信 进行 加 密 ， 可 以 
提高 终端 服务 会 话 的 安全 性 。 只 有 正确 地 配置 了 终端 服务 器 和 客户 端 计算 机 ，TLS 才能 提高 安全 性 。 
可 以 使 用 三 个 安全 层 。 
@ “SSL (TLS 1.0): 将 用 于 服务 器 身份 验证 以 及 对 服务 器 与 客户 端 之 间 传 输 的 所 有 数据 进行 加 密 。 
于 “协商 : 这 是 默认 设置 , 将 使 用 客户 端 支持 的 最 安全 的 安全 层 。 如 果 支 持 SSL (TLS 1.0), 则 使 用 SSL 
(TLS 1.0)。 如 果 客 户 端 不 支持 SSL (TLS 1.0)， 则 使 用 RDP 安全 层 。 
”RDP 安全 层 : 服务 器 与 客户 端 之 间 的 通信 将 使 用 本 机 RDP 加 密 。 如 果 选 择 RDP 安全 层 ， 则 无 
法 使 用 网 络 级 身份 验证 。 


© 注意 : 在 客户 端 连接 到 终端 服务 器 时 ， 可 以 通过 在 连接 过 程 的 早期 提供 用 户 身份 验证 来 提高 终端 服务 器 
的 安全 性 。 这 种 早期 用 户 身份 验证 方法 称 为 网 络 级 身份 验证 。 有 关 网 络 级 身份 验证 的 详细 信息 ， 请 参阅 
为 终端 服务 连接 配置 网 络 级 身份 验证 . 


使 用 SSL (TLS 1.0) 在 RDP 连接 期 间 保护 客户 端 与 终端 服务 器 之 间 的 通信 时 , 需要 使 用 证 书 对 终端 服 
务 器 进行 身份 验证 。 可 以 选择 已 安装 在 终端 服务 器 上 的 证 书 ， 也 可 以 使 用 默认 的 自 签名 证 书 。 


© 注意 : 建议 获取 并 安装 参与 Microsoft 根 证 书 程序 成 员 计划 的 可 信 公用 证 书 颁发 机 构 颁发 的 证 书 。 

对 于 终端 服务 连接 ， 数 据 加 密 可 以 通过 在 客户 端 与 服务 器 之 间 的 通信 链 路 上 进行 加 密 来 保护 用 户 的 数 
据 。 加 密 有 助 于 抵御 在 服务 器 与 客户 端 之 间 的 链 路 上 未 经 授权 截获 传输 数据 的 风险 。 

默认 情况 下 ， 以 可 用 的 最 高 安全 级 别 对 终端 服务 连接 进行 加 密 。 但 是 ， 某 些 旧版 本 的 终端 服务 客户 端 
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不 支持 此 高 级 别 的 加 密 。 如 果 网 络 中 包含 此 类 旧版 客户 端 ， 可 以 将 连接 的 加 密级 别 设置 为 以 客户 端 支持 的 
最 高 加 密级 别 发 送 和 接收 数据 。 
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© 注意 : 若 要 确定 计算 机 上 运行 的 远程 桌面 连接 版 本 支持 的 最 大 加 密 强度 ， 请 启动 “远程 桌面 连接 ”， 单 


击 “ 远 程 桌 面 连接 ”对 话 框 左上 角 的 图 标 ， 然 后 单 击 “ 关 于 ”按钮 。 在 “关于 远程 桌面 连接 ”对 话 框 中 
查找 “最 大 加 密 强度 ”。Remote Desktop Connection 5.2 以 及 更 高 版 本 支持 128 位 的 加 密 。 


可 以 使 用 以 下 四 个 加 密级 别 。 


符合 FIPS 标准 。 此 级 别 使 用 经 过 联邦 信息 处 理 标准 (FIPS) 140-1 验证 的 加 密 方法 ， 对 从 客户 端 
向 服务 器 发 送 的 数据 以 及 从 服务 器 向 客户 端 发 送 的 数据 进行 加 密 和 解密 。 不 支持 此 加 密级 别 的 客 
户 端 无 法 连接 。 

高 。 此 级 别 使 用 128 位 加 密 对 从 客户 端 向 服务 器 发 送 的 数据 以 及 从 服务 器 向 客户 端 发 送 的 数据 
进行 加 密 . 终端 服务 器 在 只 包含 128 位 客户 端 (例如 远程 桌面 连接 客户 端 ] 的 环境 中 运行 时 使 用 此 
级 别 。 不 支持 此 加 密级 别 的 客户 端 无 法 连接 。 

客户 端 兼容 。 这 是 默认 设置 ， 此 级 别 以 客户 端 支持 的 最 大 密 钥 强度 对 在 客户 端 与 服务 器 之 间 发 送 
的 数据 进行 加 密 。 终 端 服 务 器 在 包含 混合 客户 端 或 旧版 客户 端的 环境 中 运行 时 使 用 此 级 别 。 

低 。 此 级 别 使 用 56 位 加 密 对 从 客户 端 向 服务 器 发 送 的 数据 进行 加 密 。 不 对 从 服务 器 向 客户 端 发 
送 的 数据 进行 加 密 。 


操作 步骤 如 下 。 

@ 选择 “开始 ”一 “管理 工具 ”一 “终端 服务 ”命令 ， 然 后 单 击 “ 终 端 服务 配置 ”选项 。 
@ 在 “连接 ”选项 组 中 ， 右 击 相应 的 连接 名 ， 然 后 从 弹出 的 快捷 菜单 中 选择 “属性 ”命令 。 
@ 在 该 连接 的 属性 对 话 框 中， 切换 到 “常规 ”选项 卡 ， 如 图 12-42 所 示 。 


根据 你 的 安全 要 求 以 及 客户 端 计算 机 可 以 支持 的 安全 级 别 ， 选 择 适 合 你 的 环境 的 服务 器 身份 验证 
设置 和 加 密 设置 。 

如 果 选 择 SSL (TLS 1.0)， 则 选择 终端 服务 器 上 安装 的 某 个 证 书 ， 或 单 击 “ 默 认 ” 按 钮 生成 自 签名 
证 书 。 如 果 使 用 的 是 自 签 名 证 书 ， 证 书 名 称 将 显示 为 “已 自动 生成 ”。 
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图 12-42 配置 安全 级 别 


@@ 单 击 “ 确 定 ”按钮 。 


12.4.5 ”为 终端 服务 连接 配置 网 络 级 身份 验证 


在 客户 端 连接 到 终端 服务 器 时 ， 可 以 通过 在 连接 过 程 的 早期 提供 用 户 身份 验证 来 提高 终端 服务 器 的 安 
全 性 。 这 种 早期 用 户 身份 验证 方法 称 为 网 络 级 身份 验证 。 

网 络 级 身份 验证 是 一 种 新 的 身份 验证 方法 ， 在 用 户 建立 远程 桌面 连接 并 出 现 登录 屏幕 之 前 完成 用 户 身 
份 验证 。 这 是 比较 安全 的 身份 验证 方法 ， 有 助 于 保护 远程 计算 机 避免 恶意 用 户 和 恶意 软件 的 攻击 。 网 络 级 
身份 验证 的 好 处 如 下 。 

”最 初 需要 较 少 的 远程 计算 机 资源 。 验 证 用 户 之 前 ， 远 程 计算 机 使 用 有 限 的 资源 ， 而 不 是 像 以 前 版 

本 那样 启动 完整 的 远程 桌面 连接 。 

时。 可 以 通过 降低 受到 拒绝 服务 攻击 的 风险 ， 帮 助 提高 安全 性 。 

若 要 使 用 网 络 级 身份 验证 ， 需 要 满足 下 列 所 有 要 求 。 

”在 客户 端 计算 机 上 ， 需 要 至 少 使 用 Remote Desktop Connection 6.0。 

”在 客户 端 计算 机 上 ， 需 要 使 用 支持 凭据 安全 的 程序 (CredSSP) 协议 的 操作 系统 (例如 Windows 

Vista)。 

”在 终端 服务 器 上 ， 需 要 使 用 Windows Server 2008。 

为 终端 服务 连接 配置 网 络 级 身份 验证 的 操作 如 下 。 

@ 选择 “开始 ”一 “管理 工具 ”一 “终端 服务 ”命令 ， 然 后 单 击 “终端 服务 配置 ”选项 。 

@ 在 “连接 ”选项 区 中 ， 右 击 相应 的 连接 名 ， 然 后 从 弹出 的 快捷 菜单 中 选择 “属性 ”命令 。 

@ 在 该 连接 的 属性 对 话 框 中 ， 切 换 到 “常规 ”选项 卡 。 

@ 如 图 12-43 所 示 ， 选 中 “只 允许 运行 带 网 络 级 别 身份 验证 的 远程 桌面 的 计算 机 连接 ” 复 选 框 。 


| ge the yon wh Tom AcE waoms too 
Dol YA: :lle) = 


12-43 ”网 络 级 身份 验证 


提示 : 如 果 “ 只 允许 运行 带 网 络 级 别 身份 验证 的 远程 桌面 的 计算 机 连接 ” 复 选 框 已 选中 并 灰 显 ， 则 已 启 
”用 “要 求 使 用 网 络 级 别 身份 验证 对 远程 连接 进行 用 户 身份 验证 ”组 策略 设置 并 应 用 于 终端 服务 器 。 


回 单 击 “ 确 定 ” 按 钮 。 
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12.4.6 配置 终端 服务 连接 的 权限 


若 要 远程 连接 到 终端 服务 器 ， 用 户 必须 提供 凭据 ， 以 便 进 行 身份 验证 ， 并 使 终端 服务 器 可 以 确定 用 户 


有 权 执 行 的 操作 。 


默认 情况 下 ， 连 接 将 使 用 用 户 提供 的 登录 信息 ， 


这 些 信息 。 
如 果 不 使 用 客户 端 提供 的 登录 信息 ， 
接 的 登录 信息 。 


用 户 使 用 远程 桌面 连接 远程 连接 到 终端 服务 器 时 提供 


可 以 在 连接 的 属性 对 话 框 的 “登录 设置 ”选项 卡 中 指定 用 于 该 连 


还 可 以 指定 在 连接 到 终端 服务 器 时 ， 始 终 提示 用 户 提供 密码 ， 即 使 用 户 已 将 远程 桌面 连接 配置 为 使 用 
已 保存 的 凭据 连接 到 终端 服务 器 时 也 是 如 此 。 


配置 连接 的 登录 设置 


Q@ 选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 “终端 服务 ”命令 ， 然 后 单 击 “ 终 端 服 务 配 置 ”选项 。 

@ 在 “连接 ”选项 区 中 ， 右 击 相 应 的 连接 名 ， 然 后 从 弹出 的 快捷 菜单 中 选择 “属性 ”命令 。 

@ 在 该 连接 的 属性 对 话 杠 中， 切换 到 “登录 设置 ”选项 卡 。 

图 如 图 12-44 所 示 ， 选 中 “始终 提示 密码 ” 单 选 按钮 ， 单 击 “ 确 定 ” 按 钮 。 

如 图 12-45 所 示 ， 如 果 服 务 器 对 内 网 开放 或 用 户 在 网 络 层 实现 了 安全 设置 ， 可 以 选中 “始终 使 用 以 下 
登录 信息 ” 单 选 按钮 ， 这 样 用 户 使 用 远程 桌面 登录 时 不 需要 输入 账号 和 密码 ， 总 是 以 用 户 指定 的 用 户 身份 


登录 。 
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12-44 ”始终 提示 密码 


mo rm ce Woome ha 
DODel MET AL MCT-ala).) 


[TD 
和 用 号 和 临 本 
而 扫 妇 录 


12-45 ”始终 使 用 指定 账户 连接 


12.4.7 ”使 本 地 设备 和 资源 可 以 在 远程 会 话 中 访问 


通过 终端 服务 ， 用 户 可 以 在 远程 会 话 中 访问 其 本 地 设备 和 资源 。 用 户 可 以 访问 本 地 驱动 器 、 打 印 机 、 
剪贴 板 和 受 支持 的 即 插 即 用 设备 等 资源 。 这 通常 称 为 重 定向 。 

在 Windows Server 2008 中 , 重 定 向 已 得 到 增强 和 扩展 。 现 在 可 以 重 定 向 Windows 便携 设备 ,尤其 
是 基于 媒体 传输 协议 (MTP) 的 媒体 播放 机 和 基于 图 片 传输 协议 (PTP) 的 数码 相机 。 
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在 Windows Server 2008 中 ， 还 可 以 重 定向 使 用 Microsoft Point of Service (POS) for .NET 1.1 的 设备 。 
只 有 终端 服务 器 运行 的 是 基于 x86 版 本 的 Windows Server 2008 时 , 才 支 持 重 定向 Microsoft POS for .NET 
设备 。 

如 图 12-46 所 示 ， 用 户 可 以 在 远程 桌面 连接 的 “客户 端 设置 ”选项 卡 中 指定 要 重 定向 到 远程 计算 机 的 
设备 和 资源 的 类 型 。 
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12-46 ”禁用 重 定向 


可 以 使 用 终端 服务 器 上 的 连接 指定 用 户 可 在 远程 会 话 中 访问 的 本 地 设备 和 资源 。 可 以 启用 或 禁用 下 列 
资源 的 重 定向 。 
驱动 器 。 
打印 机 。 
LPT 端口 。 
COM 端口 。 
剪贴 板 。 
音频 。 
支持 的 即 插 即 用 设备 。 
默认 为 主客 户 端 打印 机 。 


注意 : Windows Server 2008 中 的 终端 服务 支持 重 定向 某 些 其 他 受 支持 的 即 插 即 用 设备 。 例 如 ， 作 为 客户 
端 计算 机 上 的 驱动 器 号 安装 的 可 盘 将 在 “驱动 器 ” 类别 下 列 为 可 重 定向 ， 连 接 到 客户 端 计算 机 的 USB 即 
插 即 用 打印 机 将 在 “打印 机 ”类 别 下 重 定向 。“ 支 持 的 即 插 即 用 设备 ”类 别 代表 其 他 即 插 即 用 设备 ， 例 
如 Windows 便携 设备 和 基于 Windows POS for .NET 1.11 的 设备 。 


例如 ， 如 果 禁 用 了 剪贴 板 的 重 定 向 ， 使 用 此 连接 远程 连接 到 终端 服务 器 的 用 户 将 无 法 在 远程 会 话 中 重 
定向 其 剪贴 板 ， 即 使 在 远程 桌面 连接 的 “选项 ”下 选中 了 “客户 端 设 置 ”选项 卡 中 的 “剪贴 板 ” 复 选 框 也 
是 如 此 。 如 果 在 终端 服务 器 上 启用 了 某 个 本 地 设备 或 资源 的 重 定向 , 用户 仍 必须 在 远程 桌面 连接 的 “选项 ” 
下 的 “客户 端 设置 ”选项 卡 中 进行 相应 的 设置 ， 指 定 要 重 定向 该 类 型 的 本 地 驱动 器 或 资源 。 
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12.4.8 配置 终端 服务 会 话 的 超时 设置 和 重新 连接 设置 


默认 情况 下 ， 终 端 服务 使 用 户 不 必 注 销 并 结束 会 话 ， 即 可 与 远程 会 话 断 开 。 会 话 处 于 断 开 状态 时 ， 即 
使 用 户 不 再 主动 连接 ， 正 在 运行 的 程序 仍 会 保持 活动 状态 。 

可 以 限制 会 话 在 服务 器 上 保持 活动 、 断 开 和 空闲 (没有 用 户 输 入 ) 状 态 的 时 间 。 由 于 在 终端 服务 器 上 保 
持 无 限期 运行 的 会 话 会 继续 占用 系统 资源 ， 所 以 这 样 做 很 有 用 。 

如 果 按 连接 配置 超时 设置 和 重新 连接 设置 ， 将 影响 使 用 该 连接 的 所 有 会 话 。 

如 图 12-47 所 示 , 可 以 使 用 终端 服务 对 “本 地 用 户 和 组 ”管理 单元 或 “Active Directory 用 户 和 计算 机 ” 
管理 单元 的 扩展 ， 按 用 户 配置 超时 设置 和 重新 连接 设置 。 


使 


日“ 终端 服务 配置 ”配置 的 超时 设置 和 重新 连接 设置 将 优先 于 已 为 特定 用 户 账户 配置 的 超时 设置 和 


重新 连接 设置 。 
可 以 在 终端 服务 配置 中 配置 下 列 超时 设置 和 重新 连接 设置 。 
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12-47 ”设置 会 话 选项 


结束 已 断 开 的 会 话 :指定 已 断 开 的 用 户 会 话 在 终端 服务 器 上 保持 活动 状态 的 最 长 时 间 。 如 果 指 定 
“从 不 ”， 用 户 已 断 开 的 会 话 将 无 限期 保持 活动 状态 。 

会 话 处 于 断 开 状态 时 ， 即 使 用 户 不 再 主动 连接 ， 正 在 运行 的 程序 仍 会 保持 活动 状态 。 

活动 会 话 限制 : 指定 在 会 话 自动 断 开 或 结束 之 前 ， 用 户 的 终端 服务 会 话 可 以 保持 活动 状态 的 最 长 
时 间 。 用 户 在 终端 服务 会 话 断 开 或 结束 之 前 两 分 钟 收 到 警告 ， 使 用 户 可 以 保存 打开 的 文件 并 关闭 
程序 。 

空闲 会 话 限制 : 指定 在 会 话 自动 断 开 或 结束 之 前 ， 活 动 终端 服务 会 话 可 以 保持 空闲 状态 (没有 用 
户 输入 ) 的 最 长 时 间 。 用 户 在 会 话 断 开 或 结束 之 前 两 分 钟 收 到 警告 ， 使 用 户 可 以 按 某 个 键 或 移动 光 
标 来 保持 会 话 处 于 活动 状态 。 

达到 会 话 限制 或 连接 被 中 断 时 : 指定 在 达到 活动 会 话 限制 或 空闲 会 话 限 制 时 ， 断 开 还 是 结束 用 户 
的 终端 服务 会 话 。 如 果断 开 用 户 会 话 ， 即 使 用 户 不 再 主动 连接 ， 用 户 正在 运行 的 程序 仍 会 保持 活 
动 状态 。 如 果 结束 用 户 会 话 ， 用 户 将 需要 与 终端 服务 器 建立 新 的 终端 服务 会 话 。 


第 全 章 终端 服务 器 


12.5 ”终端 服务 器 概述 


远程 桌面 是 用 来 远程 管理 服务 器 的 ， 最 多 只 能 连接 两 个 会 话 。 如 果 想 让 更 多 的 用 户 连接 到 服务 器 ， 使 
用 安装 在 服务 器 上 的 程序 ， 必 须 在 服务 器 上 安装 终端 服务 ， 并 由 终端 服务 器 授权 为 使 用 终端 服务 的 用 户 或 
设备 授权 ， 需 要 购买 终端 服务 器 授权 许可 。 


12.5.1 什么 是 终端 服务 


如 图 12-48 所 示 ， 通 过 Windows Server 2008 中 的 “终端 服务 ”服务 器 角色 提供 的 技术 ,用户 可 以 访 
问 终 端 服务 器 上 安装 的 基于 Windows 的 程序 或 访问 完整 的 Windows 桌面 。 使 用 终端 服务 ， 用 户 可 以 在 企 
业 网 络 内 部 或 通过 Internet 访问 终端 服务 器 。 用 户 可 以 连接 到 终端 服务 器 (Terminal Server) 来 运行 程序 ， 
保存 文件 ， 以 及 使 用 该 服务 器 上 的 网 络 资源 。 用 户 可 以 使 用 远程 桌面 连接 或 RemoteApp 程序 访问 终端 服 
务 器 。 


12-48 ”终端 服务 


终端 服务 可 使 用 户 在 企业 环境 中 有 效 地 部 署 和 维护 软件 。 可 以 很 容易 从 中 心 位 置 部 署 程序 。 由 于 将 程 
序 安装 在 终端 服务 器 上 ， 而 不 是 安装 在 客户 端 计算 机 上 ， 所 以 ， 更 容易 升级 和 维护 程序 。 

用 户 访问 终端 服务 器 上 的 某 个 程序 时 ， 该 程序 的 执行 在 服务 器 上 进行 ， 只 有 键盘 、 鼠 标 和 显示 器 的 信 
息 才 通过 网 络 传输 。 每 个 用 户 只 能 看 到 自己 的 会 话 。 服 务 器 操作 系统 透明 地 管理 会 话 ， 与 任何 其 他 客户 端 
会 话 无 关 。 


12.5.2 ”为 什么 使 用 终端 服务 


如 果 在 终端 服务 器 上 (而 不 是 在 每 台 设 备 上 ) 部 署 程序 ， 则 可 以 带 来 诸多 好 处 。 具 体 如 下 。 

里。 可 以 快速 地 将 基于 Windows 的 程序 部 署 到 整个 企业 中 的 计算 设备 上 。 在 程序 经 常 需要 更 新 、 很 
少 使 用 或 难以 管理 的 情况 下 ， 终 端 服务 尤其 有 用 。 

于 “终端 服务 可 以 明显 减少 访问 远程 应 用 程序 所 需 的 网 络 带宽 量 。 

于 ”终端 服务 有 助 于 提高 用 户 的 工作 效率 。 用 户 可 以 从 家 用 计算 机 、 展 台 、 低 能 耗 硬件 等 设备 以 及 非 
Windows 操作 系统 访问 终端 服务 器 上 运行 的 程序 。 

”对 于 需要 访问 中 心 数 据 存储 的 分 支 机 构 工作 人 员 来 说 ， 终 端 服务 可 提供 更 好 的 程序 性 能 。 有 了 时， 


[4331 


@ Windows Server 2008 二 工人 


数据 密集 型 程序 没有 针对 低速 连接 进行 优化 的 客户 端 /服务 器 协议 。 较 典型 的 广域网 连接 而 言 ， 此 
类 通过 终端 服务 连接 运行 的 程序 性 能 会 更 好 。 


12.5.3 ”终端 服务 角色 服务 


终端 服务 是 由 多 个 子 组 件 ( 称 为 “角色 服务 ”) 组 成 的 服务 器 角色 。 在 Windows Server 2008 中 ， 终 端 
服务 由 下 列 角色 服务 组 成 。 


终端 服务 器 :“ 终 端 服务 器 ” 角色 服务 使 服务 器 可 以 托管 基于 Windows 的 程序 或 完整 的 Windows 
桌面 。 用 户 可 以 连接 到 终端 服务 器 来 运行 程序 ， 保 存 文 件 ， 以 及 使 用 该 服务 器 上 的 网 络 资源 。 
TS Web Access: Terminal Services Web Access (TS Web Access) 使 用 户 可 以 通过 网 站 访问 
RemoteApp™ 程序 以 及 远程 桌面 与 终端 服务 器 的 连接 。 

TS Licensing: 终端 服务 授权 (TS 授权 ) 管理 每 个 设备 或 用 户 连接 到 终端 服务 器 所 需 的 终端 服务 客 
户 端 访问 许可 证 (TS CAL)。 使 用 TS 授权 在 终端 服务 许可 证 服务 器 上 安装 、 颁发 TS CAL 并 监视 
其 可 用 性 。 

TS Gateway: 终端 服务 网 关 (TS 网 关 ) 使 授权 远程 用 户 可 以 从 任何 连接 到 Internet 的 设备 连接 到 
内 部 公司 网 络 上 的 资源 。 

TS Session Broker: Terminal Services Session Broker (TS Session Broker) 支持 在 服务 器 场 中 的 终 
端 服务 器 之 间 进 行 会 话 负载 平衡 ， 并 支持 重新 连接 到 负载 平衡 终端 服务 器 场 中 的 现 有 会 话 。 


12.5.4 ”终端 服务 远程 应 用 程序 (TS RemoteApp) 


RemoteApp 程序 是 通过 终端 服务 远程 访问 的 程序 , 它们 的 行为 就 好 像 运 行 在 最 终 用 户 的 本 地 计算 机 上 
一 样 。 用 户 可 以 将 RemoteApp 程序 与 本 地 程序 并 排 运行 。 如 果 用 户 从 同一 台 终端 服务 器 运行 多 个 
RemoteApp 程序 ，RemoteApp 程序 将 共享 同一 个 终端 服务 会 话 。 通 过 此 功能 可 以 节省 用 户 会 话 ， 并 且 可 以 
更 快 地 连接 到 同一 台 服 务 器 上 的 每 个 其 他 RemoteApp 程序 。 

通过 使 用 TS RemoteApp Manager， 可 以 创建 Windows 安装 程序 包 (.msi 程序 包 ] 或 .rdp 文件 ， 然 后 在 
整个 组 织 中 分 发 程序 包 。 或 者 ， 如 果 希 望 用 户 通过 Web 访问 RemoteApp 程序 ， 可 以 使 用 TS Web Access 
将 RemoteApp 程序 部 署 到 网 站 上 。 


为 什么 使 用 TS RemoteApp 
在 许多 情况 下 TS RemoteApp 可 以 降低 复杂 程度 并 减少 管理 开销 ， 例 如 下 面 几 种 情况 。 


分 支 机 构 ， 其 本 地 IT 支持 和 网 络 带 宽 可 能 有 限 。 

用 户 需 要 远程 访问 应 用 程序 的 情况 。 

部 署 行 业 (LOB)] 应 用 程序 ， 尤 其 是 自 定义 LOB 应 用 程序 。 

没有 为 用 户 分 配 计算 机 的 环境 ， 例 如 “公用 办 公 桌 ”或 “旅馆 式 办 公 ” 工 作 空间 。 
部 署 某 个 应 用 程序 的 多 个 版 本 时 ， 尤 其 是 当 在 本 地 安装 多 个 版 本 可 能 会 造成 冲突 时 。 


12.5.5 TS Web Access 


通过 TS Web Access， 用 户 可 以 从 Web 浏览 器 使 用 RemoteApp 程序 以 及 远程 桌面 与 终端 服务 器 的 
连接 。 通 过 TS Web Access， 用 户 可 以 通过 访问 网 站 (从 Internet 或 Intranet) 访 问 可 用 RemoteApp 程序 
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的 列表 。 在 启动 RemoteApp 程序 时 ， 将 在 托管 RemoteApp 程序 的 终端 服务 器 上 启动 终端 服务 会 话 。 


在 部 署 TS Web Access 时 ,可 以 指定 充当 数据 源 的 终端 服务 器 ， 以 填充 网 页 上 出 现 的 RemoteApp 程 
序 的 列表 。 


12.5.6 TS Licensing 


TS 授权 管理 每 个 用 户 或 设备 连接 到 终端 服务 器 所 需 的 TS CAL。 使 用 TS 授权 在 终端 服务 许可 证 服务 器 
上 安装 、 颁 发 TS CAL 并 监视 其 可 用 性 。 

若 要 使 用 终端 服务 ， 必 须 至 少 拥有 一 台 许可 证 服务 器 。 对 于 小 型 部 署 ， 可 以 将 “终端 服务 器 ”角色 服 
务 和 TS 授权 角色 服务 安装 在 同一 台 计算 机 上 。 对 于 较 大 型 的 部 署 ， 建 议 将 TS 授权 角色 服务 与 “终端 服务 
器 ”角色 服务 安装 在 不 同 的 计算 机 上 。 

只 有 正确 地 配置 了 TS 授权 ， 终 端 服务 器 才能 继续 接受 来 自 客户 端的 连接 。 


12.5.7 ”终端 服务 网 关 


任意 地 点 的 安全 访问 : 很 多 时 候 出 差 在 外 的 员工 需要 应 用 某 个 特定 的 应 用 软件 ， 如 公司 定制 的 财务 软 
件 等 ， 这 时 候 员 工 可 以 通过 手机 、 笔 记 本 等 移动 设备 ， 在 任意 地 点 连接 公司 终端 服务 器 进行 应 用 。 如 在 
Windows Server 2008 中 ， 用 户 可 以 利用 终端 服务 中 的 TS Web Access 功能 ， 没 必要 连接 VPN， 仅 仅 通过 
Web 方式 即 可 访问 企业 终端 服务 器 , 并 且 可 以 获得 良好 的 用 户 体验 .如 图 12-49 所 示 , Windows Server 2008 
中 的 终端 服务 具有 网 关 功 能 (TS Gateway)， 可 以 裁决 用 户 是 否 满足 连接 条 件 ， 并 且 可 以 确定 用 户 可 以 连接 
哪些 终端 服务 器 ， 保 证 了 安全 性 。 


终端 服务 网 关 


图 12-49 ”终端 服务 器 网 关 

终端 服务 网 关 (TS 网 关 ] 是 这 样 一 种 类 型 的 网 关 , 它 允 许 授权 用 户 使 用 Internet 连接 从 任何 计算 机 连接 
到 企业 网 络 上 的 远程 计算 机 。TS 网 关 使 用 远程 桌面 协议 (RDP) 和 HTTPS 帮助 创建 更 安全 的 加 密 连接 。 

在 远程 桌面 连接 的 早期 版 本 中 ， 人 们 无 法 跨 过 防火 墙 和 网 络 地 址 转换 器 连接 到 远程 计算 机 ， 原 因 是 为 
增强 网 络 的 安全 性 ， 通 常 将 3389 端口 一 一 用 于 远程 桌面 连接 的 端口 一 一 堵塞。 但 是 ，TS 网 关 服 务 器 使 用 
443 端口 ， 通 过 安全 套 接 字 层 (SSU] 隧道 来 传输 数据 。 

TS 网 关 服 务 器 具有 以 下 优点 。 

于 ”支持 远程 用 户 通过 Internet 安全 连接 到 企业 网 络 上 的 资源 ， 消 除了 VPN 连接 的 复杂 性 问题 。 
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@ 于 人 理 之 过 


”充分 利用 HTTPS 协议 的 安全 性 与 可 用 性 ， 实 现 了 无 须 客户 端 配置 即 可 提供 终端 服务 。 

于 ”提供 全 面 的 安全 配置 模型 ， 使 管理 员 能 控制 对 网 络 上 特定 资源 的 访问 。 

和 ”使 用 户 能 通过 不 同 防火 墙 和 网 络 地 址 转换 器 (NAT] 远程 连接 到 终端 服务 器 与 远程 工作 站 上 。 

ma 提供 一 种 更 安全 的 模式 , 使 用 户 通过 VPN 只 能 访问 指定 的 服务 器 与 工作 站 , 而 不 是 整个 企业 网 络 。 

和 ”TS 网 关 通 过 使 用 HTTP Secure Sockets Layer (SSL) 通 道 传 输 所 有 RDP 流量 (通常 会 通过 端口 3389 
发 送 ] 至 端口 443。 这 意味 着 所 有 用 户 客户 端 电脑 以 及 TS 网 关 的 流量 都 将 在 经 过 Internet 传输 时 
进行 加 密 。 


12.5.8 TS Session Broker 


TS Session Broker( 终 端 服 务 会 话 中 介 器 在 负载 平衡 的 终端 服务 器 场 中 跟踪 用 户 会 话 。TS Session 
Broker 数据 库存 储 会 话 状态 信息 ， 包 括 会 话 ID、 会 话 关联 的 用 户 名 以 及 每 个 会 话 所 在 的 服务 器 的 名 称 。 
拥有 现 有 会 话 的 用 户 连接 到 负载 平衡 服务 器 场 中 的 终端 服务 器 时 ，TS Session Broker 将 用 户 重 定向 到 其 会 
话 所 在 的 终端 服务 器 。 这 样 可 以 阻止 用 户 连 接 到 服务 器 场 中 的 其 他 服务 器 并 启动 新 会 话 。 

如 果 启 用 了 TS Session Broker 负载 平衡 功能 ，TS Session Broker 还 跟踪 服务 器 场 中 每 台 终 端 服务 器 
上 的 用 户 会 话 数 ， 并 将 没有 现 有 会 话 的 用 户 重 定向 到 会 话 数 最 少 的 服务 器 。 通 过 此 功能 ， 可 以 将 会 话 负载 
在 负载 平衡 终端 服务 器 场 中 的 服务 器 之 间 均 匀 分 配 。 


12.6 ”安装 和 配置 终端 服务 


12.6.1 安装 终端 服务 授权 


在 DCServer 安装 终端 服务 器 授权 ， 给 域 中 的 终端 服务 器 分 发 终端 服务 器 许可 。 

中 ”以 域 管理 员 账 号 登录 DCServer， 如 图 12-50 所 示 ， 打 开 服 务 器 管理 器 ， 单 击 “添加 角色 ”按钮 。 

@ 在 出 现 的 “开始 之 前 ”界面 中 ， 单 击 “ 下 一 步 ”按钮 。 

@ 如 图 12-51 所 示 ， 在 “选择 服务 器 角色 ”界面 中 ， 选 中 “终端 服务 ” 复 选 框 ， 单 击 “ 下 一 步 ” 
按钮 。 


E FE 日 汪 
[EEC E33 EETT EE 


图 12-50 添加 角色 图 12-51 选择 角色 
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在 出 现 的 “终端 服务 介绍 ”界面 中 ， 单 击 “ 下 一 步 ” 按 钮 。 

如 图 12-52 所 示 ， 在 出 现 的 “选择 角色 服务 ”界面 中 ， 选 中 “TS 授权 ” 复 选 框 ， 单 击 “ 下 一 步 ” 
按钮 。 
如 图 12-53 所 示 ， 在 “为 TS 授权 配置 搜索 范围 ”界面 中 ， 选 中 “此 域 ” 单 选 按钮 ， 单 击 “ 下 一 
步 ” 按 钮 。 

在 出 现 的 “确认 ”对 话 框 中 ， 单 击 “ 下 一 步 ”按钮 ， 完 成 角色 添加 。 
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12-52 选择 角色 服务 图 12-53 选择 TS 授权 配置 搜索 范围 


12.6.2 ”激活 终端 服务 授权 


必须 激活 许可 证 服务 器 ， 才 能 验证 该 许可 证 服务 器 并 允许 其 颁发 终端 服务 客户 端 访问 许可 证 (TS 
CAL)。 可 以 使 用 TS 授权 管理 器 工具 中 的 服务 器 激活 向 导 来 激活 许可 证 服务 器 。 
如 果 没有 激活 许可 证 服务 器 ,许可 证 服务 器 只 能 颁发 临时 TS 每 设备 CAL( 有 效 期 为 90 天 ] 或 TS 每 
用 户 CAL。 
可 以 通过 下 列 三 种 方法 激活 许可 证 服务 器 。 
a 自动 激活 终端 服务 许可 证 服务 器 。 
于 ”使 用 Web 浏览 器 激活 终端 服务 许可 证 服务 器 。 
”使 用 电话 激活 终端 服务 许可 证 服务 器 。 
下 面 介绍 自动 激活 终端 服务 DCSERVERTS 授权 服务 的 详细 步骤 。 
选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 “终端 服务 ”一 “TS 授权 管理 器 ”命令 。 
如 图 12-54 所 示 ， 右 击 服务 器 ， 从 弹出 的 快捷 菜单 中 选择 “激活 服务 器 ”命令 。 
如 图 12-55 所 示 ， 在 出 现 的 “服务 器 激活 向 导 ” 对 话 框 中 ， 单 击 “ 下 一 步 ”按钮 。 
如 图 12-56 所 示 ， 在 “连接 方法 ”界面 中 ， 选 择 “ 自 动 连接 ”， 单 击 “ 下 一 步 ”按钮 。 
如 图 12-57 所 示 ， 在 “公司 信息 ”界面 中 ， 输 入 公司 信息 ， 单 击 “ 下 一 步 ” 按 钮 。 
如 图 12-58 所 示 ， 在 “公司 信息 ”界面 中 ， 继 续 输入 公司 信息 ， 单 击 “下 一 步 ”按钮 。 
如 图 12-59 所 示 ， 在 “正在 完成 服务 器 激活 向 导 ” 界 面 中 ， 单 击 “ 下 一 步 ” 按 钮 。 
如 图 12-60 所 示 ， 在 “欢迎 使 用 许可 证 安装 向 导 ” 界 面 中 ， 单 击 “ 下 一 步 ” 按 钮 。 
如 图 12-61 所 示 ， 在 “许可 证 计划 ”界面 中 ， 选 择 “其 他 协议 ”选项 ， 单 击 “ 下 一 步 ” 按 钮 。 
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@ 系统 管理 之 首 


@@ 如 图 12-62 所 示 ， 在 “许可 证 计划 ”界面 中 ， 输 入 协议 号 码 ， 单 击 “ 下 一 步 ”按钮 。 
四 如 图 12-63 所 示 ， 在 “产品 版 本 和 许可 证 类 型 ”界面 ， 产 品 版 本 选择 Windows Server 2008， 许 
可 证 类 型 选择 “Windows Server 2008 TS 每 用 户 CAL”， 输 入 数量 ， 单 击 “ 下 一 步 ” 按 钮 。 
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图 12-58 ”继续 输入 公司 信息 图 12-59 ”激活 向 导 
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第 1 章 终端 服 务 器 


图 12-62 输入 协议 号 码 图 12-63 选择 产品 版 本 
中 如 图 12-64 所 示 ， 完 成 后 可 以 看 到 批量 许可 证 数量 为 5。 


图 12-64 ”许可 证 数量 
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@ 系统 管理 之 道 


12.6.3 ”安装 终端 服务 器 


可 以 在 FileServer 计算 机 安装 终端 服务 ， 以 便 用 户 能 够 访问 其 上 的 应 用 程序 。 


名 ”以 域 管理 员 账 户 登 录 到 FileServer， 打 开 服务 器 管理 器 ， 单 击 “ 添 加 角色 ”按钮 。 
如 图 12-65 所 示 ， 选 中 “终端 服务 ” 复 选 框 ， 单 击 “ 下 一 步 ” 按 钮 。 
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© 
@ 在 “终端 服务 ”界面 中 ， 单 击 “ 下 一 步 ”按钮 。 
@ 


如 图 12-66 所 示 ， 在 “选择 角色 服务 ”界面 中 ， 选 中 “终端 服务 器 ”、“TS 会 话 Broker” 和 “TS 
Web 访问 ” 复 选 框 ， 单 击 “ 下 一 步 ”按钮 ， 在 弹出 的 对 话 框 中 ， 单 击 “ 添 加 必需 的 角色 服务 ” 


按钮 。 


12-65 ”安装 终端 服务 


图 12-66 选择 角色 服务 


@ 如 图 12-67 所 示 ， 在 “ 印 载 并 重新 安装 兼容 的 应 用 程序 ”界面 中 ， 单 击 “ 下 一 步 ”按钮 。 
如 图 12-68 所 示 ， 在 “指定 终端 服务 器 的 身份 验证 方法 ”界面 中 ， 选 中 “要 求 使 用 网 络 级 身份 验 


证 ” 单 选 按钮 ， 单 击 “ 下 一 步 ” 按 钮 。 


图 12-67 ”安装 向 导 


图 12-68 身份 验证 方法 


第 全 章 终端 服务 器 


注意 : 应 先 在 计算 机 上 安装 “终端 服务 器 ”角色 服务 ， 然 后 再 安装 任何 希望 用 户 可 以 使 用 的 程序 。 如 果 
在 已 安装 了 程序 的 计算 机 上 安装 “终端 服务 器 ”角色 服务 ， 在 多 用 户 环境 中 ， 某 些 现 有 的 程序 可 能 无 法 
正常 运行 。 却 载 并 重新 安装 受 影响 的 程序 可 能 会 解决 这 些 问题 。 为 了 确保 正确 地 安装 某 个 应 用 程序 ， 以 
便 在 多 用 户 环境 中 使 用 ， 必 须 先 将 终端 服务 器 置 于 特殊 安装 模式 ， 然 后 再 在 终端 服务 器 上 安装 该 应 用 程 
序 。 此 特殊 安装 模式 确保 在 安装 期 间 创建 所 需 的 正确 注册 表 项 和 .ini 文件 ， 以 支持 在 多 用 户 环境 中 运行 该 
应 用 程序 。 


@ 如 图 12-69 所 示 ， 在 出 现 的 “指定 授权 模式 ”界面 中 ， 选 中 “每 用 户 ” 单 选 按钮 ， 单 击 “ 下 一 步 ” 
按钮 。 
如 图 12-70 所 示 ， 在 出 现 的 “选择 允许 访问 此 终端 服务 器 的 用 户 组 ”界面 中 ， 单 击 “ 下 一 步 ” 


按钮 。 


| tie ht Ver Te ck wdors wp 
LIE 了 EL 请 [je 
reson rl 


cE Wndows eb 
Lo ERT A lssl: 
El 


图 12-69 指定 授权 模式 图 12-70 选择 用 户 组 


如 图 12-71 所 示 ， 在 出 现 的 “Web 服务 器 (IIS) ”界面 中 ， 单 击 “ 下 一 步 ” 按 钮 。 
如 图 12-72 所 示 ， 在 出 现 的 “选择 角色 服务 ”界面 中 ， 单 击 “ 下 一 步 ” 按 钮 。 
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图 12-71 Web 服务 器 图 12-72 角色 服务 


[441 1 


@@ 如 图 12-73 所 示 ， 在 出 现 的 “确认 安装 选择 ”界面 中 ， 单 击 “ 安 装 ”按钮 。 
中 ”如 图 12-74 所 示 ， 在 出 现 的 “安装 结果 ”界面 中 ， 单 击 “ 关 闭 ” 按 钮 ， 重 启 系统 。 
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图 12-73 确认 安装 选择 图 12-74 安装 结果 


12.6.4 配置 终端 服务 器 的 许可 证 设置 


指定 FileServer 使 用 DCServer 终端 服务 授权 。 

@ 选择 “开始 ”一 “管理 工具 ”一 “终端 服务 ”命令 ， 然 后 单 击 “ 终 端 服 务 配置 ”。 

@@ 如 图 12-75 所 示 ， 单 击 “终端 服务 授权 模式 ”按钮 ， 在 出 现 的 对 话 框 中 ， 选 中 “每 用 户 ”、“ 使 
用 指定 的 许可 证 服务 器 ” 单 选 按钮 ， 在 文本 框 中 输入 dcserver， 单 击 “ 检 查 名 称 ” 按 钮 ， 提 示 服 
务 器 有 效 。 

@ 单 击 “ 确 定 ” 按 钮 。 
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12-75 ”配置 授权 模式 和 许可 证 服务 器 


12.6.5 ”指定 在 用 户 登录 时 自动 启动 某 个 程序 


为 了 最 大 化 终端 服务 器 的 安全 ， 可 以 指定 用 户 连 接 到 终端 服务 器 时 只 允许 特定 的 程序 ， 而 不 是 显示 服 
[4421 


务 器 的 桌面 ， 防 止 用 户 对 服务 器 进行 非法 操作 。 
© 注意 : 该 功能 只 有 在 终端 服务 器 上 生效 ， 在 启用 远程 桌面 的 服务 器 上 该 设置 无 效 。 
@ 选择 “开始 ”一 “管理 工具 ”一 “终端 服务 ”命令 ， 然 后 单 击 “ 终 端 服务 配置 ”。 


@ 如 图 12-76 所 示 ， 双 击 RDP-Tcp， 在 “RDP-Tcp 属性 ”对 话 框 的 “环境 ”选项 卡 中 ， 输 入 该 服务 
器 上 程序 路 径 和 文件 名 ， 单 击 “ 确 定 ”按钮 。 


图 12-76 配置 启动 时 启动 特定 程序 


@ 在 Sales 计算 机 上 测试 到 FileServer 的 终端 服务 的 连接 。 
@ 选择 “开始 ”一 “运行 ”命令 ， 在 “运行 ”对 话 框 中 输入 mstsc， 单 击 “ 确 定 ” 按 钮 ， 打 开 终 端 
服务 客户 端 。 
回 输入 FileServer， 单 击 “ 连 接 ” 按 钮 ， 输 入 域 管理 员 账户 和 密码 。 可 以 看 到 登录 成 功 后 只 显示 运 
行 计算 器 程序 ， 并 不 显示 服务 器 桌面 ， 如 图 12-77 所 示 。 
如 果 每 个 用 户 登 录 到 终端 服务 器 使 用 不 同 的 应 用 程序 ， 可 以 为 其 指定 不 同 的 应 用 程序 。 如 图 12-78 所 
示 ， 需 要 在 “RDP-Tcp 属性 ”对 话 框 的 “环境 ”选项 卡 中 ， 选 中 “运行 由 用 户 配 置 文件 和 远程 桌面 连接 或 
客户 端 指 定 的 初始 程序 ” 单 选 按钮 。 
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图 12-77 终端 服务 只 启动 某 个 程序 图 12-78 由 用 户 属性 确定 运行 的 程序 
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如 图 12-79 所 示 ， 在 用 户 属性 的 环境 指定 要 运行 的 程序 。 
@ 或 者 在 远程 桌面 客户 端 指定 要 运行 的 程序 ， 如 图 12-80 所 示 。 
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12-79 ”配置 用 户 属性 图 12-80 ”在 远程 桌面 客户 端 指定 要 运行 的 程序 


12.6.6 ”查看 许可 证 使 用 情况 


在 DCServer 上 可 以 查看 终端 服务 许可 证 使 用 情况 。 

Q@ 选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 “终端 服务 ”一 “TS 授权 管理 器 ”命令 。 

@ 如 图 12-81 所 示 ， 右 击 “ 报 告 ”， 在 弹出 的 快捷 菜单 中 选择 “创建 报告 ”一 “每 用 户 CAL 使 用 情 
况 ” 命 令 。 

图 如 图 12-82 所 示 ， 在 出 现 的 对 话 框 中 ， 选 中 “整个 域 ” 单 选 按钮 ， 单 击 “ 创 建 报告 ”按钮 。 
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图 12-81 创建 报告 图 12-82 指定 创建 整个 域 的 许可 证 使 用 报告 


@ 如 图 12-83 所 示 ， 可 以 看 到 5 个 CAL， 已 经 使 用 了 一 个 。 
回 如 图 12-84 所 示 ， 在 Sales 上 使 用 另外 一 个 域 用 户 连接 到 FileServer。 
@ 如 图 12-85 所 示 ， 再 次 在 DCServer 上 生成 报告 。 可 以 看 到 已 用 两 个 CAL。 
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© 注意 : 如 果 使 用 同一 个 域 用 户 连接 多 次 FileServer， 只 使 用 一 个 CAL， 因 为 终端 服务 CAL 是 每 用 户 模式 。 
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图 12-83 ”查看 报告 


Geir 
Hee Wew Team cE Wndow Hep 
a uFe BD LL 


| Iv EA 
| 三 本 ET 
ETL EE 


12-85 ”再 次 查看 报告 


12.7 ”配置 和 访问 RemoteApp 


RemoteApp 程序 是 通过 终端 服务 远程 访问 的 程序 , 它们 的 行为 就 好 像 运 行 在 最 终 用 户 的 本 地 计算 机 上 


样 。 


户 可 以 将 RemoteApp 程序 与 本 地 程序 并 排 运行 。 如 果 用 户 从 同一 台 终 端 服务 器 运行 多 个 


RemoteApp 程序 ，RemoteApp 程序 将 共享 同一 个 终端 服务 会 话 。 通 过 此 功能 可 以 节省 用 户 会 话 ， 并 且 可 
以 更 快 地 连接 到 同一 台 服务 器 上 的 每 个 其 他 RemoteApp 程序 。 


12.7.1 


© 


在 FileServer 上 配置 RemoteApp 


以 域 管 理 员 账 户 登 录 到 FileServer， 选 择 “ 开 始 ” 一 “程序 ”一 “管理 工具 ”一 “终端 服务 ”一 
“TS RemoteApp 管理 器 ”命令 。 
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12-86 所 示 ， 单 击 “ 添 加 RemoteApp 程序 ”按钮 。 
12-87 所 示 ， 在 出 现 的 “RemoteApp 向 导 ” 对 话 框 中 ， 单 击 “ 下 一 步 ” 按 钮 。 
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12-86 添加 RemoteApp 12-87 ”添加 RemoteApp 向 导 
@ ”如 图 12-88 所 示 , 在 出 现 的 “选择 要 添加 到 RemoteApp 程序 列表 的 程序 ”界面 中 , 选中 “画图 ”、 


“计算 器 ”和 “写字 板 ” 复 选 框 ， 单 击 “ 下 一 步 ” 按 钮 。 
@ 如 图 12-89 所 示 ， 在 出 现 的 “复查 设置 ”界面 中 ， 单 击 “ 完 成 ”按钮 。 
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12-88 ”选择 程序 12-89 ”完成 向 导 


如 图 12-90 所 示 ， 可 以 看 到 RemoteApp 程序 。 

可 以 通过 多 种 方式 将 RemoteApp 程序 分 发 给 用 户 。 根 据 选择 的 方法 ， 用 户 可 以 进行 以 下 操作 。 

里 “使 用 TS Web Access 在 网 站 上 访问 该 程序 的 链接 。 
TS Web Access 是 一 项 “终端 服务 ”角色 服务 ， 使 RemoteApp 程序 可 由 用 户 通 过 Web 浏览 器 
进行 访问 。 

里 ”双击 已 由 管理 员 创 建 并 分 发 的 .rdp 文件 。 
可 以 创建 一 个 远程 桌面 协议 (.rdp) 文件 , 用 于 将 RemoteApp 程序 分 发 给 用 户 。 可 以 使 用 现 有 的 
软件 分 发 进程 (例如 Microsoft Systems Management Server] 或 通过 文件 共享 ,将 .rdp 文件 分 发 到 
客户 端 计算 机 。 


和 ”双击 Windows Installer 程序 包 。 
在 桌面 或 “开始 ”菜单 中 ， 双 击 由 管理 员 使 用 Windows Installer 程序 包 创建 并 分 发 的 程序 图 标 。 
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刚 甸 的 三 个 应 用 要 序 


12-90 发布 的 程序 


可 以 创建 一 个 Windows Installer (msi] 程序 包 , 用 于 将 RemoteApp 程序 分 发 给 用 户 。 有 关 详 细 
信息 ， 请 参阅 创建 Windows Installer 程序 包 。 若 要 将 Windows Installer 程序 包 分 发 到 客户 端 
计算 机 ， 可 以 使 用 现 有 的 软件 分 发 进程 (例如 Microsoft Systems Management Server 或 Active 
Directory 组 策略 ]。 还 可 以 使 Windows Installer 程序 包 通 过 文件 共享 进行 访问 。 


和 ”双击 文件 扩展 名 与 RemoteApp 程序 关联 的 文件 。 
如 果 通 过 Windows Installer 程序 包 分 发 RemoteApp 程序 ， 可 以 配置 终端 服务 器 是 否 将 接管 
RemoteApp 程序 的 客户 端 文件 扩展 名 。 


(@) 注意 : 若 要 访问 RemoteApp 程序 ， 客 户 端 计算 机 必须 至 少 正在 运行 远程 桌面 连接 RDC 6.0。 


12.7.2 使 用 TS Web Access 在 网 站 上 访问 该 程序 的 链接 


要 使 用 TS Web 访问 终端 服务 器 上 的 程序 ， 客 户 端 必 须 是 以 下 系统 之 一 。 


m Windows Server 2008。 

m WindowsVistawith Service Pack 1 (SP1) 。 

m WindowsXP with Service Pack 3 (SP3) 。 

Q@ 如 图 12-91 所 示 ， 在 Sales 计算 机 上 登录 ， 打 开 IE 浏 览 器 ,输入 http://fileserver.ess.comy/ts。 在 
出 现 的 对 话 框 中 输入 用 户 号 和 密码 。 

@ ”如 图 12-92 所 示 ， 右 击 IE 浏览 器 的 提示 ， 在 弹出 的 快捷 菜单 中 选择 “运行 ActiveX 控件 ”命令 。 
在 出 现 的 “安全 警告 ”对 话 框 中 单 击 “ 运 行 ”按钮 。 

@ ”如 图 12-93 所 示 ， 单 击 网 页 中 的 “计算 器 ”图 标 。 

@ 如 图 12-94 所 示 ， 在 出 现 的 RemoteApp 对 话 框 中 ， 单 击 “ 连 接 ” 按 钮 。 

@ 如 图 12-95 所 示 ， 在 出 现 的 “Windows 安全 ”对 话 框 中 ,输入 用 户 名 和 密码 ， 单 击 “ 确 定 ”按钮 。 

@ 如 图 12-96 所 示 ， 终 端 服务 器 上 的 计算 器 程序 的 界面 出 现 ， 并 没有 出 现 远 程 终端 服务 器 的 桌面 ， 

这 与 运行 本 地 的 程序 一 样 。 
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图 12-91 


访问 终端 服务 网 站 
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输入 用 户 名 和 密码 
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图 12-96 ”远程 应 用 程序 演示 


第 全 章 终端 服务 器 


12.7.3 ”使 用 rdp 文件 访问 RemoteApp 上 的 程序 


创建 发 布 rdp 文件 使 用 户 能 够 使 用 RemoteApp 上 的 程序 。 

@ 在 FileServer 上 ,选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 “终端 服务 ”一 “TS RemoteApp 管 
理 器 ”命令 。 

@ ”如 图 12-97 所 示 ， 选 中 写字 板 程序 ， 单 击 “ 创 建 .rdp 文件 ”。 

@ 如 图 12-98 所 示 ， 在 出 现 的 向 导 对 话 框 中 ， 单 击 “ 下 一 步 ”按钮 。 
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图 12-97 创建 rdp 文件 12-98 ”RemoteApp 向 导 


如 图 12-99 所 示 ， 在 “指定 程序 包 设置 ”界面 中 ， 输 入 程序 包 的 位 置 ， 单 击 “ 下 一 步 ”按钮 。 
如 图 12-100 所 示 ， 在 “复查 设置 ”界面 中 ， 单 击 “ 完 成 ”按钮 。 
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图 12-99 选择 位 置 图 12-100 ”完成 向 导 


如 图 12-101 所 示 ， 共 享 Packaged Programs 文件 夹 。 

如 图 12-102 所 示 ， 在 Sales 计算 机 将 FileServer 计算 机 上 的 Wordpad 文件 复制 到 桌面 。 
如 图 12-103 所 示 ， 双 击 桌面 上 的 Wordpad 图 标 ， 在 出 现 的 对 话 框 中 单 击 “ 连 接 ” 按 钮 。 
如 图 12-104 所 示 ， 在 “Windows 安全 ”对 话 框 中 ， 输 入 账号 和 密码 ， 单 击 “ 确 定 ” 按 钮 。 


因 因 Q@ 
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© rr 系统 管理 之 道 


Fie ed Vew We Teem ack Wedoms pep 


LE e122 :T]helsl=) 


Re J y 
EOE YT TTT 


图 12-101 共享 文件 夹 图 12-102 复制 安装 文件 
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12-103 ”使 用 RemoteApp 12-104 ”输入 账号 和 密码 


如 图 12-105 所 示 ， 可 以 看 到 终端 服务 器 的 写字 板 程序 已 经 运行 。 
@ 选择 写字 板 的 “文件 ”一 “另存 为 ”命令 ， 注 意 浏览 到 的 是 终端 服务 器 上 的 目录 。 
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12-105 运行 RemoteApp 
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12.7.4 ”使 用 Windows Installer 程序 包 部 署 RemoteApp 上 的 程序 


@@ 在 FileServer 上 ， 以 域 管理 员 账 户 登录 。 

@ 选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 “终端 服务 ”一 “TS RemoteApp 管理 器 ”命令 。 
图 如 图 12-106 所 示 ， 选 中 写字 板 程序 ， 单 击 “ 创 建 Windows Installer 程序 包 ” 按 钮 。 

@ ”如 图 12-107 所 示 ， 在 出 现 的 “RemoteApp 向 导 ” 对 话 框 中 ， 单 击 “ 下 一 步 ”按钮 。 
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12-106 创建 Windows Installer 程序 包 图 12-107 使 用 RemoteApp 向 导 


@ 如 图 12-108 所 示 ， 在 “指定 程序 包 设置 ”界面 中 ， 单 击 “ 下 一 步 ”按钮 。 
@ 如 图 12-109 所 示 ， 在 出 现 的 “配置 分 发 程序 包 ” 界 面 中 ， 选 中 “桌面 ” 复 选 框 ， 在 文本 框 中 输入 
名 称 ， 选 中 “将 此 程序 的 客户 端 扩展 与 RemoteApp 程序 相关 联 ” 复 选 框 ， 单 击 “ 下 一 步 ”按钮 。 
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12-108 ”指定 程序 包 位 置 12-109 配置 分 发 程序 包 


”如 图 12-110 所 示 ， 将 FileServer 上 的 wordpad.msi 安装 文件 复制 到 Sales 的 桌面 ， 双 击 安装 ， 可 
以 看 到 在 桌面 上 出 现 写 字 板 的 快捷 方式 。 选择 “开始 ”一 “程序 ”一 “远程 记事 本 ”命令 ,可 以 
看 到 出 现 了 “写字 板 ”。 

如 图 12-111 所 示 ， 双 击 桌面 上 的 写字 板 快捷 方式 ， 单 击 “ 连 接 ” 按 钮 ， 输 入 账号 和 密码 ， 可 以 打 
开 远程 应 用 程序 。 
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12-110 ”安装 的 RemoteApp 图 12-111 运行 RemoteApp 


12.8 ”使 用 终端 服务 网 关 访问 终端 服务 


终端 服务 网 关 (TS 网 关 )] 是 这 样 一 种 类 型 的 网 关 ， 它 允许 授权 用 户 使 用 Internet 连接 从 任何 计算 机 连 
接 到 企业 网 络 上 的 远程 计算 机 。TS 网 关 使 用 远程 桌面 协议 (RDP) 和 HTTPS 帮助 创建 更 安全 的 加 密 连接 。 

以 下 将 会 演示 在 Research 计算 机 上 安装 终端 服务 网 关 角 色 ，Workgroup 计算 机 使 用 终端 服务 网 关 
Research 访问 到 内 网 的 终端 服务 FileServer 以 及 启用 了 远程 桌面 的 DCServer 和 ProfileServer, 实验 环境 如 
图 12-112 所 示 。 需 要 在 DCServer 上 安装 企业 CA， 为 Research 服务 器 颁发 证 书 。 


RDP 连 搁 到 内 网 
远程 谱 面 或 终 风 
服务 


WorkgroupGerver “和 
jorkgroupServer 
使 用 HTTPS 连 按 

关 和 用户。 到 余 六 服务 网 关 


DMZ 


Research 
终端 服务 网 关 
启用 远程 课 面 


12-112 ”实验 环境 


12.8.1 任务 1: 安装 企业 CA 

这 个 任务 为 配置 TS 网 关 做 准备 , 因为 TS 网 关 配置 SS1 需要 数字 证 书 。 安 装 一 个 企业 CA 为 域 中 的 用 户 
和 计算 机 颁发 数字 证 书 。 

@ 以 域 管理 员 的 身份 登录 到 DCServer， 如 图 12-113 所 示 ， 打 开 服务 器 管理 器 ， 单 击 “ 添 加 角色 ” 
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第 全 章 终端 服务 器 
按钮 。 


加 如 图 12-114 所 示 ， 在 “开始 之 前 ”界面 中 ， 单 击 “ 下 一 步 ” 按 钮 。 


图 12-113 安装 角色 图 12-114 ”安装 向 导 


@ 如 图 12-115 所 示 ， 在 出 现 的 “选择 服务 器 角色 ”界面 中 ， 选 中 “Active Directory 证 书 服务 ” 复 
选 框 ， 单 击 “ 下 一 步 ”按钮 。 
@ 如 图 12-116 所 示 ， 在 出 现 的 “Active Directory 证 书 服务 简介 ”对 话 框 中 ， 单 击 “ 下 一 步 ”按钮 。 


ck eont 
EPEYEL ICE ssl 


图 12-115 ”选择 角色 图 12-116 证 书 服务 简介 


如 图 12-117 所 示 ， 在 “选择 角色 服务 ”界面 中 ， 选 中 “证 书 颁 发 机 构 ”、“ 证 书 颁 发 机 构 Web 
注册 ”和 “联机 响应 程序 ” 复 选 框 ， 在 出 现 的 “添加 角色 向 导 ” 对 话 框 中 ， 单 击 “ 添 加 必需 的 角 
色 服 务 ” 按 钮 ， 单 击 “ 下 一 步 ”按钮 。 

如 图 12-118 所 示 ， 在 “指定 安装 类 型 ”界面 中 ， 选 中 “企业 ” 单 选 按钮 ， 单 击 “ 下 一 步 ” 按 钮 。 
如 图 12-119 所 示 ， 在 出 现 的 “指定 CA 类 型 ”界面 中 ， 选 中 “ 根 ” 单 选 按钮 ， 单 击 “ 下 一 步 ” 

按钮 。 

如 图 12-120 所 示 ， 在 出 现 的 “设置 私 钥 ” 对 话 框 中 ， 选 中 “新 建 私 钥 ” 单 选 按钮 ， 单 击 “ 下 一 步 ” 
按钮 。 

如 图 12-121 所 示 ， 在 出 现 的 “为 CA 配置 加 密 ” 对 话 框 中 ， 单 击 “ 下 一 步 ” 按 钮 。 
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© gr 系统 管理 之 首 


如 图 12-122 所 示 ， 在 出 现 的 “配置 CA 名 称 ” 对 话 框 中 ， 保 持 默 认 的 名 称 ， 单 击 “ 下 一 步 ” 按 钮 。 
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12-121 配置 CA 加 密 图 12-122 配置 CA 名 称 
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@@ 如 图 12-123 所 示 ， 在 出 现 的 “设置 有 效 期 ”对 话 框 中 ， 单 击 “ 下 一 
中 ”如 图 12-124 所 示 ， 在 出 现 的 “配置 证 书 数据 库 ” 对 话 框 中 ， 单 


EET Rs 


步 ”按钮 。 
是 “下 一 步 ” 按钮。 
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12-123 ”设置 有 效 期 
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图 12-124 配置 证 书 数据 库 


@@ 如 图 12-125 所 示 ， 在 出 现 的 “Web 服务 器 (IIS)” 界 面 中 ， 单 击 “ 下 一 步 ” 按 钮 。 
四 如 图 12-126 所 示 ， 在 出 现 的 “选择 角色 服务 ”界面 中 ， 单 击 “ 下 一 


步 ”按钮 。 
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12-125 ”Web 服务 器 
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图 12-126 ”指定 角色 服务 
加 ”如 图 12-127 所 示 ， 在 “确认 安装 选择 ”界面 中 ， 单 击 “ 安 装 ”按钮 ， 完 成 角色 安装 。 
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12-127 ”确认 安装 


12.8.2 任务 2: 在 Research 上 安装 TS 网 关 
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DOL A Me:T: all 
rom ER em 


以 域 管 理 员 身 份 登录 到 Research。 
如 图 12-128 所 示 ， 打 开 服务 器 管理 器 ， 单 击 “ 添 加 角色 ”按钮 。 
如 图 12-129 所 示 ， 在 出 现 的 “开始 之 前 ”界面 中 ， 单 击 “ 下 一 步 ” 按 钮 。 
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12-128 ”安装 角色 12-129 ”安装 向 导 


如 图 12-130 所 示 ， 在 出 现 的 “选择 服务 器 角色 ”对 话 框 中 ， 选 中 “终端 服务 ” 复 选 框 ， 单 击 “ 下 
一 步 ”按钮 。 

如 图 12-131 所 示 ， 在 出 现 的 “终端 服务 ”界面 中 ， 单 击 “ 下 一 步 ” 按 钮 。 

如 图 12-132 所 示 ， 在 出 现 的 “选择 角色 服务 ”界面 中 ， 选 中 “TS 网 关 ” 复 选 框 ， 单 击 “ 下 一 步 ” 
按钮 。 

如 图 12-133 所 示 ， 在 出 现 的 “选择 SSL 加 密 的 服务 器 身份 验证 证 书 ” 界 面 中 ， 选 中 “ 稍 后 为 SSL 
加 密 选 择 证 书 ” 单 选 按钮 ， 单 击 “ 下 一 步 ” 按 钮 。 

如 图 12-134 所 示 ， 在 出 现 的 “为 TS 网 关 创建 授权 策略 ”界面 中 ， 选 中 “以 后 ” 单 选 按钮 ， 单 
“下 一 步 ” 按 钮 。 


Et 


回 如 图 12-135 所 示 ， 在 出 现 的 “网 络 策略 和 访问 服务 ”界面 中 ， 单 击 “ 下 一 步 ”按钮 。 
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12-135 ”网 络 策略 和 访问 服务 介绍 
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如 图 12-136 所 示 , 在 出 现 的 “选择 角色 服务 ”界面 中 , 选中 “网 络 策略 服务 器 ” 复 选 框 , 单 击 “ 下 


一 步 ”按钮 。 


四 ”如 图 12-137 所 示 ， 在 出 现 的 “Web 服务 器 (IIS)” 对 话 框 中 ， 单 击 “ 下 一 步 ” 按 钮 。 
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图 12-136 选择 角色 服务 


图 12-137 lIS 介绍 


四 ”如 图 12-138 所 示 ， 在 出 现 的 “选择 角色 服务 ”界面 中 ， 保 持 默 认 选 择 ， 单 击 “ 下 一 步 ” 按 钮 。 
@@ ”如 图 12-139 所 示 ， 在 出 现 的 “确认 安装 选择 ”界面 中 ， 单 击 “ 安 装 ” 按 钮 。 
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12-138 ”保持 默认 角色 服务 


12.8.3 任务 3: 配置 TS 网 关 证 书 


下 面 介绍 申请 服务 器 证 书 ， 并 配置 TS 网 关 使 用 该 证 书 。 


12-139 ”确认 安装 


”选择 “开始 ”一 “运行 ”命令 ， 在 出 现 的 “运行 ”对 话 框 中 输入 gpupdate /force， 单 击 “确定 ” 按 
钮 ， 刷 新 组 策略 。 因 为 是 刚刚 安装 的 企业 CA， 域 中 的 计算 机 必须 刷新 组 策略 才能 发 现 域 中 的 CA。 


@ 如 图 12-140 所 示 ， 选 择 “ 开 始 ” 一 “运行 


“确定 ”按钮 。 


命令 ， 在 出 现 的 “运行 ”对 话 框 中 输入 mmc， 单 击 


@ 如 图 12-140 所 示 ， 在 打开 的 控制 台 窗口 中 ， 选 择 “ 文 件 ” 一 “添加 /删除 管理 单元 ”命令 。 
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@@ 如 图 12-141 所 示 ， 在 出 现 的 “添加 或 删除 管理 单元 ”对 话 框 中 ， 选 中 “证 书 ”， 单 击 “ 添 加 ”按钮 。 
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12-140 ”添加 删除 管理 单元 


@ ”如 图 12-142 所 示 ， 在 “证 书 管理 单元 ” 


按钮 。 


图 12-141 ”选择 证 书 管理 单元 


对 话 框 中 ,选中 “计算 机 帐户 ” 单 选 按钮 ， 单 击 “ 下 一 步 ” 


如 图 12-143 所 示 ， 在 “选择 计算 机 ”对 话 框 中 ， 选 中 “本 地 计算 机 ” 单 选 按钮 ， 单 击 “ 完 成 ” 


按钮 。 
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12-142 ”选择 计算 机 
图 12-144 所 示 ， 右 击 “ 个 人 ”, 在 弹出 的 快捷 菜单 中 选择 “所 有 任务 ”一 “申请 新 证 书 ” 命 令 。 
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12-143 ”选择 本 地 计算 机 


图 12-146 所 示 ， 在 出 现 的 “申请 证 书 ” 界 面 中 ， 选 中 “计算 机 ” 复 选 框 ， 单 击 “ 注 册 ” 按 钮 。 


12-148 所 示 ， 展 开 “ 个 人 ”一 “证 书 ” 节 点， 可 以 看 到 刚才 申请 的 证 书 。 双 击 该 证 书 ， 在 “证 


@ 如 
如 图 12-145 所 示 ， 在 “在 您 开始 前 ”对 话 框 中 ， 单 击 “ 下 一 步 ” 按 钮 。 
回 如 
如 图 12-147 所 示 ， 在 “证 书 安装 结果 ”界面 中 ， 单 击 “完成 ”按钮 。 
@@ 如 图 
书 路 径 ” 选 项 卡 中 ， 可 以 看 到 是 企业 CA 颁发 的 证 书 。 
四 选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 “终端 服务 ”一 “TS 网 关 管 理 ” 命 令 。 
@@ 如 


图 12-149 所 示 ， 在 打开 的 “TS 网 关 服 务 器 状态 ”界面 中 ， 单 击 “ 查 看 或 修改 证 书 属性 ”按钮 。 
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12-147 证书 安装 结果 
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12-148 ”查看 申请 的 证 书 


12-149 ”查看 或 修改 证 书 属性 


四 如 图 12-150 所 示 ， 在 “RESEARCH 属性 ”对 话 框 的 “SSL 证 书 ” 选 项 卡 中 ， 单 击 “浏览 证 书 ” 
按钮 。 
加 如 图 12-151 所 示 ， 在 出 现 的 “安装 证 书 ” 对 话 框 中 ， 选 中 刚才 申请 的 证 书 ， 单 击 “ 安 装 ” 按 钮 。 


me Vee We To Ewido pop 
CE EIREL ll) 


rr 
EN nhs ea 


PET 6 = Eh 


lems) Ru Brsin 0 
Rm 


图 12-150 ”浏览 证 书 图 12-151 安装 证 书 


12.8.4 任务 4: 创建 访问 策略 


1. TS 网 关 的 授权 策略 

安装 了 TS 网 关 角 色 服 务 并 为 该 TS 网 关 服务 器 配置 了 证 书 之 后 ， 必 须 创建 终端 服务 连接 授权 策略 (TS 
CAP)、 计 算 机 组 和 终端 服务 资源 授权 策略 (TS RAP) 。 

本 主题 描述 了 TS CAP、 计 算 机 组 和 TS RAP 如 何 使 你 可 以 控制 远程 用 户 通过 TS 网 关 从 Internet 连 
接 到 内 部 网 络 时 ， 对 内 部 网 络 资源 (计算 机 ] 的 访问 。 

1) TS CAP 

通过 TS CAP， 可 以 指定 可 连接 到 TS 网 关 服 务 器 的 用 户 。 可 以 指定 存在 于 本 地 TS 网 关 服 务 器 上 或 
Active Directory 域 服务 中 的 用 户 组 , 还 可 以 指定 用 户 要 访问 TS 网 关 服 务 器 必须 满足 的 其 他 条 件 。 可 以 在 
每 个 TS CAP 中 列 出 特定 的 条 件 。 例 如 ， 你 可 能 要 求 一 组 用 户 使 用 智能 卡 来 通过 TS 网 关 建 立 连接 。 


© 要 点 : 如 果 用 户 满足 TS CAP 中 指定 的 条 件 ， 将 被 授予 访问 TS 网 关 服务 器 的 权限 ,必须 还 要 创建 终端 
服务 资源 授权 策略 (TS RAP). 通过 TS RAP, 可 以 指定 用 户 可 通过 TS 网 关连 接 到 的 网 络 资源 (计算 机 )。 
在 创建 TS CAP 和 TS RAP 之 前 ， 用 户 无 法 通过 此 TS 网 关 服 务 器 连接 到 网 络 资源 。 


2) TS RAP 

通过 TS RAP， 可 以 指定 远程 用 户 可 通过 TS 网 关 服 务 器 连接 到 的 内 部 网 络 资源 。 在 创建 TS RAP 时 ， 
可 以 创建 计算 机 组 (内 部 网 络 上 和 希望 远程 用 户 连接 到 的 一 组 计算 机 ) 并 将 其 与 TS RAP 关联 。 

如 果 通 过 TS 网 关 服 务 器 连接 到 内 部 网 络 的 远程 用 户 至 少 满足 一 个 TS CAP 和 一 个 TS RAP 中 指定 的 条 
件 ， 将 被 授予 访问 网 络 上 的 计算 机 的 权限 。 
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© 注意 : 将 TS 网 关 管理 的 计算 机 组 与 TS RAP 关联 时 ,可 以 通过 将 完全 限定 的 域名 (FQDN) 和 NetBIOS 


名 称 分 别 添加 到 受 TS 网 关 管 理 的 计算 机 组 中 ， 同 时 支持 这 两 个 名 称 。 将 Active Directory 安全 组 与 TS 
RAP 关联 时 ， 如 果 客 户 端 要 连接 到 的 内 部 网 络 计算 机 与 TS 网 关 服 务 器 属于 同一 个 域 ， 将 自动 支持 
FQDN 和 NetBIOS 名 称 ; 如 果 内 部 网 络 计算 机 与 TS 网 关 服 务 器 分 别 属于 不 同 的 域 ， 用 户 必 须 指定 内 
部 网 络 计算 机 的 FQDN. 


TS CAP 和 TS RAP 相 结合 ， 可 提供 两 个 不 同 的 授权 级 别 ， 使 用 户 可 以 为 内 部 网 络 上 的 计算 机 配置 更 


具体 的 访问 控制 级 别 。 

2. 示例 

在 终端 服务 网 关 创 建 终端 服务 连接 授权 策略 (TS CAP)、 计 算 机 组 和 终端 服务 资源 授权 策略 (TS RAP)。 

Q@@ ”以 域 管 理 员 身份 登录 到 Research， 选择“ 开始 ”一 “程序 ”一 “管理 工具 ”一 “终端 服务 ”一 “TS 
网 关 管 理 器 ”命令 。 

@ ”如 图 12-152 所 示 ， 右 击 “ 连 接 授权 策略 ”， 从 弹出 的 快捷 菜单 中 选择 “新 建 策略 ”一 “向 导 ” 
命令 。 

@ 如 图 12-153 所 示 ， 在 出 现 的 “为 TS 网 关 创 建 授权 策略 ”界面 中 ， 选 中 “创建 TS CAP 和 TS RAP” 
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单 选 按钮 ， 单 击 “ 下 一 步 ” 按 钮 。 


QQ Q@ @ © 
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图 12-152 新 建 策略 12-153 ”创建 授权 策略 
如 图 12-154 所 示 ， 在 出 现 的 “为 TS 网 关 创建 TS CAP” 界 面 中 ， 输 入 名 称 ， 单 击 “ 下 一 步 ” 
按钮 。 
如 图 12-155 所 示 ， 在 出 现 的 对 话 框 中 ， 单 击 “ 添 加 组 ”按钮 ， 在 “用 户 组 成 员 身份 ”文本 框 中 输 
入 ESS\Domain Admins， 单 击 “ 下 一 步 ” 按 钮 。 
如 图 12-156 所 示 ， 在 出 现 的 “为 TS 网 关 创 建 TS CAP” 界 面 中 ， 选 中 “启用 所 有 客户 端 设备 的 设 
备 重 定 向 ” 单 选 按钮 ， 单 击 “ 下 一 步 ” 按 钮 。 
如 图 12-157 所 示 ， 在 出 现 的 对 话 框 中 ， 确 认 设置 ， 单 击 “ 下 一 步 ” 按 钮 。 
如 图 12-158 所 示 ， 在 出 现 的 “为 TS 网 关 创建 TS RAP” 界 面 中 ， 输 入 授权 名 称 ， 单 击 “ 下 一 步 ” 
按钮 。 
如 图 12-159 所 示 , 在 出 现 的 对 话 框 中 , 在 “用 户 组 成 员 身 份 ” 文 本 框 中 输入 ESS\Domain Admins， 


单 击 “ 下 一 步 ” 按 钮 。 
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图 12-158 为 TS 网 关 创建 TS RAP 
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图 12-159 输入 用 户 组 
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如 图 12-160 所 示 , 在 出 现 的 对 话 框 中 , 单 击 “ 浏 览 ” 按 钮 ,在 文本 框 中 输入 ESS\Domain Computers， 
单 击 “ 下 一 步 ” 按 钮 。 

@@” 如 图 12-161 所 示 ， 在 出 现 的 对 话 框 中 ， 选 中 “允许 通过 以 下 端口 连接 ” 单 选 按钮 ， 在 文本 框 中 输 
入 “3389;4000”， 单 击 “ 下 一 步 ” 按 钮 。 


Wm We Toom we edo 
站 
3 


GB » moe sw 
WN 


和 | syhan esse na Me ee 


图 12-160 ”选择 终端 服务 器 组 图 12-161 指定 端口 
中 如 图 12-162 所 示 ， 在 出 现 的 设置 摘要 对 话 框 中 ， 单 击 “ 完 成 ”按钮 。 
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图 12-162 完成 TS 网 关 创建 TS RAP 


12.8.5 任务 5: 使 用 TS 网 关连 接 到 FileServer 


在 WorkgroupServer 上 ， 需 要 下 载 企 业 CA 的 证 书 。 在 配置 终端 服务 客户 端 使 用 TS 网 关 的 Research 
服务 器 连接 到 企业 内 部 网 的 终端 服务 器 FileServer。 操 作 步 又 如 下 。 
Q@ 如 图 12-163 所 示 ， 打 开 IE 浏览 器 ， 在 地 址 栏 中 输入 http://dcserver.ess.com/certsrv， 在 出 现 的 
对 话 框 中 输入 用 户 名 和 密码 ， 单 击 “ 确 定 ” 按 钮 。 
@@ ”如 图 12-163 所 示 , 单 击 “ 下 载 CA 证 书 、 证 书 链 或 CRL” 链 接 。 如 图 12-164 所 示 , 在 出 现 的 Web 
页 面 上 ， 单 击 “ 下 载 CA 证 书 ” 链 接 ， 在 弹出 的 安全 警告 提示 框 中 单 击 “ 保 在 ”按钮 。 
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图 12-163 访问 CA Web 站 点 图 12-164 下 载 CA 证 书 


如 图 12-165 所 示 , 右 击 桌面 上 的 IE 浏览 器 , 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 , 在 “Internet 
属性 ”对 话 框 的 “内 容 ” 选 项 卡 中 ， 单 击 “ 证 书 ” 按 钮 。 

如 图 12-166 所 示 ， 在 “证 书 ” 对 话 框 的 “受信 任 的 根 证 书 颁 发 机 构 ” 选 项 卡 中 ， 单 击 “ 导 入 ” 按 
钮 ， 将 刚才 下 载 的 CA 证 书 导入 。 
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图 12-165 打开 IE 属性 图 12-166 受信 任 的 证 书 颁发 机 构 


如 图 12-167 所 示 ， 在 出 现 的 “安全 性 警告 ”对 话 框 中 ， 单 击 “是” 按钮， 完成 导入 。 这 样 当前 用 
户 就 信任 该 证 书 颁发 机 构 了 。 

如 图 12-168 所 示 ， 选 择 “ 开 始 ”一 “运行 ”命令 ， 在 出 现 的 “运行 ”对 话 框 中 输入 mstsc， 打 开 
终端 服务 客户 端 ， 单 击 “ 选 项 ”按钮 ， 在 “计算 机 ”下 拉 列 表 框 中 输入 fileServer.ess.com。 

如 图 12-169 所 示 ， 在 “高 级 ”选项 卡 中 ， 单 击 “ 设 置 ” 按 钮 。 

如 图 12-170 所 示 ， 在 “TS 网 关 服务 器 设置 ”对 话 框 中 ， 选 中 “使 用 这 些 TS 网 关 服 务 器 设置 ” 
单 选 按钮 ， 输 入 TS 网 关 服 务 器 名 称 ， 选 中 “将 我 的 TS 网 关 凭 据 用 于 远程 计算 机 ” 复 选 框 ， 单 击 
“确定 ”按钮 。 这 里 一 定 要 使 用 计算 机 域名 访问 TS。 
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12-169 配置 TS 网 关 12-170 指定 TS 网 关 


回 如 图 12-171 所 示 ， 在 出 现 的 “Windows 安全 ”对 话 框 中 ， 输 入 域 管理 员 账号 和 密码 ， 单 击 “ 确 
定 ” 按 钮 。 
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图 12-171 输入 账号 和 密码 图 12-172 使 用 TS 网 关连 接 内 网 服务 器 
[4661 


@@ ”如 图 12-173 所 示 ， 在 命令 行 状态 下 输入 netstat -n， 可 以 看 到 与 终端 服务 网 关 建 立 的 会 话 使 用 的 


是 TCP 的 443 端口 。 
加 如 图 


建立 的 会 话 。 


12-173 ”查看 会 话 


12-174 所 示 , 在 FileServer 上 可 以 看 到 终端 服务 器 是 使 用 TCP 的 3389 端口 与 终端 服务 网 关 
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图 12-174 ”在 终端 服务 器 上 查看 会 话 


@@ 如 图 12-175 所 示 ， 在 终端 服务 器 网 关 Research 计算 机 上 ， 打 开 TS 网 关 管 理 器 ， 单 击 “ 监 视 ” 选 


项 ， 可 以 看 到 连接 到 内 网 的 终端 服务 会 话 。 


SH 提示 : 如 图 12-176 所 示 ， 使 用 TS 网 关 访 问 dcserver.ess.com， 提 示 不 满足 资源 访问 策略 ， 因 为 资源 访问 
策略 只 允许 访问 Domain Computers， 而 域 控制 器 不 属于 这 个 组 。 
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图 12-175 在 TS 网 关上 查看 会 话 
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图 12-176 不 满足 资源 访问 策略 


12.8.6 任务 6: 使 用 TS 网 关连 接 到 Windows Server Core 远程 桌面 


Q@ 在 WorkgroupServer 上 打开 终端 服务 客户 端 ， 如 图 12-177 所 示 ， 配 置 使 用 终端 服务 网 关 ， 输 入 
profileServer.ess.com, 单 击 “ 连 接 ” 按 钮 , 在 出 现 的 对 话 框 中 输入 域 管理 员 账 号 和 密码 , 单 击 “ 确 
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12-177 ”连接 到 内 网 的 Server Core 12-178 ”登录 成 功 


12.9 TS Session Broker 


TS Session Broker 是 Windows Server 2008 中 的 新 特点 ， 是 用 于 终端 服务 的 Microsoft Network Load 
Balancing 更 简单 的 一 个 替代 产品 。 该 特点 并 不 局 限于 某 些 服务 器 ， 而 是 为 2 一 5 台 服 务 器 中 心 提供 了 极 大 
价值 。 通 过 TS Session Broker， 新 会 话 分 布 在 整个 中 心 任务 最 少 的 服务 器 上 ， 这 不 但 可 以 优化 性 能 ， 同 时 
允许 用 户 与 现 有 会 话 重新 连接 ， 而 无 须知 道 关于 服务 器 建立 地 点 的 具体 信息 。IT 经 理 可 以 利用 这 一 特点 为 
单一 域名 系统 (DNS) 入 口 绘制 每 个 终端 服务 器 的 IP 地 址 地 图 。 这 一 配置 提供 故障 误差 ， 一 旦 中 心服 务 器 不 
可 使 用 ， 用 户 可 以 连接 到 中 心里 工作 量 为 倒数 第 二 的 服务 器 。 

TS Session Broker 可 提供 下 列 功能 的 角色 服务 。 

于 使 用 户 可 以 重新 连接 到 负载 平衡 终端 服务 器 场 中 的 现 有 会 话 。 

里 “使 用 户 可 以 将 会 话 负载 在 负载 平衡 终端 服务 器 场 中 的 服务 器 之 间 均 匀 分 配 。 

TS Session Broker 存储 会 话 状态 信息 ， 包 括 会 话 ID、 会 话 关 联 的 用 户 名 以 及 每 个 会 话 所 在 的 服务 器 
的 名 称 。 

如 果 用 户 与 会 话 断 开 ( 无 论 是 有 意 断 开 还 是 由 于 网 络 故障 而 断 开 )， 其 应 用 程序 仍 将 继续 运行 。 在 重新 
连接 时 ,将 查询 TS Session Broker， 以 确定 是 否 有 现 有 会 话 ， 如 果 有 ， 则 确定 会 话 在 场 中 的 哪 台 服 务 器 上 。 
如 果 有 现 有 会 话 ，TS Session Broker 会 将 客户 端 重 定向 到 其 会 话 所 在 的 终端 服务 器 。 

通过 TS Session Broker 负载 平衡 ， 没 有 现 有 会 话 的 用 户 连接 到 负载 平衡 的 场 中 的 终端 服务 器 时 ， 会 
将 用 户 重 定向 到 会 话 数 最 少 的 终端 服务 器 。( 若 要 在 场 中 比较 强大 和 不 太 强大 的 服务 器 之 间 分 配 会 话 负载 ， 
可 以 为 服务 器 分 配 相对 服务 器 权重 值 ] 如 果 有 现 有 会 话 的 用 户 重新 连接 , 则 将 用 户 重 定向 到 其 现 有 会 话 所 在 
的 终端 服务 器 。 


TS Session Broker 组 件 


TS Session Broker 服务 器 是 运行 Terminal Services Session Broker 服务 并 跟踪 一 个 或 多 个 负载 平衡 终 
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端 服务 器 场 的 用 户 会 话 的 服务 器 。TS Session Broker 使 用 场 名 称 确定 处 于 同一 个 终端 服务 器 场 中 的 服务 器 。 
使 用 TS Session Broker 的 终端 服务 器 ,是 作为 TS Session Broker 中 的 场 的 成 员 的 负载 平衡 终端 服务 器 。 
若 要 参与 TS Session Broker， 服 务 器 必须 符合 下 列 条 件 。 
日 服务 器 必须 安装 了 “终端 服务 器 ”角色 服务 。 
至 ”服务 器 必须 是 Active Directory 域 的 成 员 。 
于 服务 器 必须 是 负载 平衡 终端 服务 器 场 的 成 员 。 


© 注意 :如果 要 使 用 TS Session Broker 负载 平衡 功能 ， 可 以 将 负载 平衡 设置 与 其 他 TS Session Broker 设 
置 一 起 进行 配置 。 如果 使 用 TS Session Broker 负载 平衡 , 场 中 的 所 有 终端 服务 器 必须 均 在 运行 Windows 
Server 2008. 


至 ”服务 器 必须 是 TS Session Broker 服务 器 上 的 Session Directory Computers 本 地 组 的 成 员 。 
里 ”服务 器 必须 加 入 TS Session Broker 中 的 场 。 


要 点 : 如 果 终 端 服务 器 运行 的 是 某 个 版 本 的 Windows Server 2008， 则 只 能 使 用 同样 运行 某 个 版 本 的 
Windows Server 2008 的 TS Session Broker 服务 器 。 


实验 环境 


如 图 12-179 所 示 为 某 钢 厂 正在 测试 开发 的 财务 软件 。 为 了 更 改 和 部 署 程序 方便 , 将 测试 阶段 的 程序 安 
装 在 两 个 终端 服务 器 Research 和 FileServer 上 , 但 数据 库 使 用 的 是 同一 个 服务 器 上 的 SQL Server 上 的 数据 
库 。 财 务 人 员 使 用 终端 服务 客户 端 连接 到 这 两 个 终端 服务 ， 为 了 实现 负载 均衡 ， 在 DCServer 上 安装 TS 


Session Broker。 
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图 12-179 ”实验 环境 
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@ [ Windows Server 2008 下 王 王 下 二 


操作 系统 


DCServer 是 Ess.com 域 中 的 域 控制 器 ， 安 装 Windows Server 2008 企业 版 操作 系统 ， 安 装 有 TS 
会 话 Broker、DNS 服务 器 和 终端 服务 授权 。 

FileServer 和 Research 是 Ess.com 域 中 的 应 用 程序 服务 器 ，Windows Server 2008 企业 版 操作 系 
统 ， 安 装 终端 服务 和 财务 软件 。 

Sales 计算 机 是 Ess.com 域 中 的 计算 机 ， 是 财务 人 员 的 工作 站 。 


要 求 


TS 


©@© © 


© 


财务 人 员 使 用 远程 桌面 连接 ts.ess.com 连接 到 这 两 个 终端 服务 器 。 
将 财务 人 员 的 终端 服务 会 话 分 挫 到 FileServer 和 Research 服务 器 。 
会 话 Broker 的 工作 步骤 如 下 。 
Sales 计算 机 的 远程 桌面 连接 ， 输 入 ts.ess.com。 通 过 DNS 解析 到 ts.ess.com 域名 两 个 IP 地 址 ， 
10.7.10.121 和 10.7.10.65 。 
Sales 计算 机 连接 第 一 个 地 址 10.7.10.121。 
终端 服务 器 FileServer 查找 TS 会 话 Broker。 
由 TS 会 话 Broker 根据 终端 服务 负载 将 用 户 指定 到 终端 会 话 较 少 的 服务 器 ， 如 果 是 断 开 的 终端 服 
务 会 话 连接 过 来 ， 会 将 用 户 定位 到 原来 使 用 的 终端 服务 器 上 。 
客户 无 论 使 用 哪个 终端 服务 器 上 的 程序 , 都 是 连接 的 同一 个 SQL Server 数据 库 服务 器 上 的 数据 库 。 


这 样 对 于 使 用 者 ， 不 必 关 心 连接 的 是 哪个 终端 服务 器 ， 结 果 都 是 相同 程序 、 相 同 的 数据 。 如 果 终 端 服 


务 器 上 
以 使 用 
以 
12.9. 
© 


@ 
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的 用 户 访问 的 数据 存储 在 本 地 文件 夹 ， 为 了 让 用 户 连接 到 不 同 终端 服务 器 都 能 看 到 相同 文件 夹 ， 可 
DFS 将 终端 服务 器 上 的 文件 夹 进行 数据 实时 同步 。 


下 任务 将 会 演示 在 域 环境 中 配置 使 用 TS 会 话 Broker 实现 终端 服务 的 负载 均衡 。 


1 任务 1: 在 DCServer 中 安装 TS 会 话 Broker 


以 域 管理 员 账 户 登录 到 DCServer， 打 开 服 务 器 管理 器 ， 如 图 12-180 所 示 ， 单 击 “ 添 加 角色 服务 ” 
按钮 。 
如 图 12-181 所 示 ， 选 中 “TS 会 话 Broker” 复 选 框 ， 单 击 “ 下 一 步 ”按钮 ， 完 成 安装 。 
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图 12-180 ”添加 角色 服务 12-181 选择 角色 服务 


第 全 章 终端 服务 器 


图 选择 “开始 ”一 “运行 ”命令 ， 在 出 现 的 “运行 ”对 话 框 中 输入 dsamsc， 单 击 “ 确 定 ”按钮 ， 
打开 “Active Directory 用 户 和 计算 机 ”管理 工具 。 

@ 如 图 12-182 所 示 ， 双 击 Session Directory Computers 组 ， 在 出 现 的 对 话 框 的 “成 员 ” 选 项 卡 中 ， 
单 击 “ 添 加 ”按钮 。 

回 如 图 12-183 所 示 ， 在 出 现 的 “添加 用 户 、 联 系 人 、 计 算 机 或 组 ”对 话 框 中 ， 单 击 “ 对 象 类 型 ” 
按钮 。 

如 图 12-183 所 示 ， 在 出 现 的 “对 象 类 型 ”对 话 框 中 ， 选 中 “计算 机 ” 复 选 框 。 


| me ve roe et wsom top Fe El Ve Tom ME wind 
| WS 名 六 ro Te -1 一 EE TS FET i 


12-182 ”添加 成 员 12-183 ”选择 对 象 类 型 
@ ”如 图 12-184 所 示 ， 将 FileServer 和 Research 计算 机 账号 添加 到 该 组 。 


He GN Vem We oom Mh wb 
人 三 二 人 El Car Tl 
= ET WL 


12-184 ”添加 计算 机 到 该 组 


12.9.2 任务 2: 配置 终端 服务 器 使 用 TS 会 话 Broker 
在 FileServer 和 Research 服务 器 上 都 安装 终端 服务 ， 并 配置 使 用 DCServer 作为 TS 会 话 Broker。 


© 注意 : 这 两 个 服务 器 的 终端 服务 端口 必须 一 致 . 
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@ Windows Server 2008 下 荆 二 一 


@ 
四 
® 


在 FileServer 上 ， 以 域 管理 员 账 户 登录 。 

选择 “开始 ”一 “管理 工具 ”一 “终端 服务 ”命令 ， 然 后 单 击 “ 终 端 服务 配置 ”。 

如 图 12-185 所 示 ， 双 击 “TS 会 话 Broker 中 的 组 成 员 ”， 在 出 现 的 对 话 框 中 ， 选 中 “加 入 TS 会 
话 Broker 中 的 场 ” 复 选 框 ， 输 入 TS 会 话 Broker 服务 器 名 或 IP 地 址 ， 输 入 TS 会 话 Broker 中 的 
场 的 名 称 ， 选 中 “参与 会 话 Broker 负载 平衡 ” 复 选 框 ， 选 中 “使 用 IP 地 址 重 定 向 ” 复 选 框 ， 单 
击 “ 确 定 ”按钮 ， 完 成 配置 。 

如 图 12-186 所 示 ， 同 样 在 Research 服务 上 指定 TS 会 话 Broker。 


res We yi Ran ae Wdom hp 
和 可 名 避 用 四 


| me ah Vow We Tom we Wndows relp 

IG NETRATEL NPL ld 
re 
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图 12-185 配置 终端 服务 (一 ) 12-186 配置 终端 服务 (二 ) 


12.9.3 任务 3: 为 终端 服务 的 名 称 解析 配置 DNS 


若 要 对 终端 服务 器 场 中 的 会 话 进行 负载 平衡 ， 可 以 结合 使 用 TS Session Broker 负载 平衡 功能 和 域名 系 
统 (DNS) 循环 。 若 要 配置 DNS， 必 须 为 服务 器 场 中 的 每 台 终 端 服务 器 创建 一 个 DNS 主机 资源 记录 ， 将 终 
端 服务 器 的 IP 地 址 映射 到 DNS 中 的 终端 服务 器 场 名 称 。 


在 基于 Windows Server 2008 的 域 控制 器 DCServer 上 配置 DNS 


QQ@ GOA@OO 


以 域 管 理 员 的 身份 登录 到 DCServer。 

选择 “开始 ”一 “管理 工具 ”一 “DNS 管理 器 ”命令 。 

如 图 12-187 所 示 ， 依 次 展开 服务 器 名 称 、“ 正 向 查找 区 域 ” 和 域名 。 

如 图 12-187 所 示 ， 右 击 ess.com， 从 弹出 的 快捷 菜单 中 选择 “新 建 主机 (A 或 AAAA) ”命令 。 
如 图 12-188 所 示 ， 在 出 现 的 “新 建 主机 ”对 话 框 中 ， 输 入 名 称 ts 和 IP 地 址 10.7.10.121， 这 是 
FileServer 的 IP 地 址 。 

再 次 右 击 ess.com， 从 弹出 的 快捷 菜单 中 选择 “新 建 主 机 (A 或 AAAA)” 命 令 。 

如 图 12-189 所 示 ， 在 出 现 的 “新 建 主 机 ”对 话 框 中 ， 输 入 名 称 ts 和 IP 地 址 10.7.10.65， 这 是 
Research 的 IP 地 址 。ts 就 是 场 名 。 


场 名 称 是 客户 端 将 用 于 连接 到 该 终端 服务 器 场 的 虚拟 名 称 。 不 要 使 用 现 有 服务 器 的 名 称 。 为 了 便于 管 
理 ， 建 议 使 用 与 将 终端 服务 器 配置 为 加 入 TS Session Broker 中 的 场 时 指定 的 场 名 称 相同 的 场 名 称 。 
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注意 : 默认 情况 下 ， 在 基于 Windows Server 2008 的 域 控制 器 上 使 用 DNS 时 ， 将 启用 DNS 循环 。 如 
图 12-190 所 示 ， 在 DNS 中 查看 服务 器 的 属性 时 ， 可 以 在 “高 级 ”选项 卡 中 配置 “启用 循环 ”设置 。 
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12-189 添加 主机 名 称 和 IP 地址 


使 用 终端 服务 的 场 名 连接 到 终端 服务 器 场 


Fle Ed Vew VM Team ACE Wndows Hap 


Eo 


12-190 ”启用 循环 


12.9.4 任务 4: 在 Sales 计算 机 使 用 连接 终端 服务 


”如 图 12-191 所 示 ， 以 域 用 户 的 身份 登录 到 Sales 计算 机 。 使 用 两 个 域 用 户 连 接 ts.ess.com 终端 服 


务 器 场 。 


加 如 图 12-192 所 示 ， 在 命令 行 中 输入 netstat -n， 可 以 看 到 两 个 到 终端 服务 器 的 会 话 ， 这 两 个 会 话 
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@ Windows Server 2008 7 


连接 到 了 两 个 终端 服务 器 。 


Sales Vesre Workstabon ACE Ediion 
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图 12-191 远程 桌面 连接 (使 用 终端 服务 的 场 名 ) 


12-192 ”查看 会 话 


如 今 ， 数 据 中 心 已 经 成 为 一 个 复杂 的 生态 系统 。 是 仿 关键 词 
在 这 个 系统 中 ， 各 种 服务 器 、 操 作 系统 以 及 应 用 均 可 
与 各 种 桌面 及 移动 客户 端 进行 交互 。IT 部 门 承受 的 压 
力 越 来 越 大 ， 不 仅 需要 管理 与 支持 这 类 任务 关键 型 技 
术 ， 而 且 还 要 控制 成 本 并 保持 高 可 靠 性 与 安全 性 。 
采用 服务 器 虚拟 化 技术 一 一 即 可 将 不 同 的 服务 器 移 到 
集中 管理 环境 中 的 虚拟 机 (VM) 上 一 一 逐渐 成 了 解决 
上 述 难题 的 理想 选择 。 


虚拟 化 简介 

Windows Server 虚拟 化 结构 
虚拟 化 技术 对 硬件 的 要 求 
安装 Hyper-V 

创建 和 使 用 虚拟 机 

管理 虚拟 网 络 

虚拟 化 解决 方案 


@ Windows Server 2008 下 于 二 三 三 二 


13.1 虚拟 化 技术 概述 


虚拟 化 技术 有 助 于 显著 降低 IT 成 本 、 集 中 网 络 管理 、 增 强 网 络 安全 性 、 改 善 服务 器 可 用 性 ， 同 时 提 
高 硬件 利用 率 。 虚 拟 化 是 企业 服务 器 部 署 的 必然 趋势 ， 如 图 13-1 所 示 。 


静态 计算 vs. 虚拟 计算 


虚拟 展现 
用 户 界面 与 运行 操作 系统 和 应 用 程序 的 计 用 户 界面 与 应 用 程序 和 操作 系统 分 离 


a 虚拟 应 用 程序 
Ht 了 本 件 和 如 作 系统 上 任何 计算 机 上 .任何 所 需 应 用 程序 
操作 系统 指派 于 特定 的 硬件 虚拟 操作 系统 
任何 
存储 指派 于 特定 位 置 
网 络 指派 于 特定 位 置 


13-1 虚拟 化 技术 


Windows Server 2008 包括 Windows Server virtualization (WSv), 这 是 一 项 功能 强大 的 虚拟 化 与 网 络 
管理 技术 ， 使 企业 无 须 购买 第 三 方 软件 即 可 充分 利用 虚拟 化 的 优势 。 由 于 VM 能 够 提供 前 所 未 有 的 功能 来 
利用 可 用 的 硬件 , 微软 及 其 合作 伙伴 可 为 解决 各 种 操作 系统 (如 : Windows、Linux 以 及 支持 Xen 的 Linux) 
之 间 的 互 操 作 性 问题 提供 一 站 式 支持 ， 并 且 IT 部 门 可 以 使 用 灵活 性 的 、 功 能 强大 的 工具 来 同时 管理 虚拟 
和 物理 资源 。 

本 章 介 绍 的 WSv 是 微软 桌面 -数据 中 心虚 拟 化 战略 的 重要 组 件 。 其 中 介绍 了 WSv 中 的 新 增 与 增强 型 
功能 如 何 帮助 企业 客户 解决 常见 问题 : 服务 器 整合 、 业 务 连续 性 /灾难 恢复 管理 、 测 试 与 开发 以 及 动态 数据 
中 心 。 此 外 ， 本 章 还 重点 介绍 了 如 何 扩展 这 些 优势 来 满足 小 型 办 公 室 与 分 支 办 公 室 的 独特 需求 。 

虚拟 化 是 一 项 已 经 被 广泛 采用 的 解决 方案 。 80% 的 企业 正在 使 用 或 评估 虚拟 化 技术 ， 并 亲眼 目睹 了 它 
在 服务 器 整合 、 集 中 化 管理 及 其 他 节约 成 本 的 应 用 中 所 表现 出 来 的 优势 。 由 于 这 些 优势 可 极 大 降低 成 本 ， 
因此 企业 希望 将 要 求 更 为 严格 的 工作 负荷 实现 虚拟 化 。 这 些 企业 希望 拥有 功能 更 强大 、 更 灵活 的 虚拟 化 解 
决 方案 , 以 更 好 地 与 其 管理 工具 相 集 成 。 64 位 多 处 理 器 多 内 核 服务 器 的 广泛 采用 激发 了 对 能 更 好 地 利用 高 
稳健 性 处 理 能 力 的 VM 需求 。 

为 了 适应 这 些 发 展 ， 微 软 创建 了 WSv， 即 新 一 代 64 位 虚拟 化 技术 ， 以 促进 对 物理 与 虚拟 组 件 进行 灵 
活 的 无 缝 管理。 该 技术 通过 动态 与 可 靠 的 虚拟 化 功能 提供 了 支持 平台 的 灵活 性 。 


13.2 ”Windows Server virtualization 结构 


1. 基于 管理 程序 的 虚拟 化 
Windows Server virtualization (WSv) 采用 64 位 管理 程序 精心 设计 。 该 管理 程序 是 常 驻 在 操作 系统 与 
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硬件 之 间 很 薄 的 软件 层 。 该 管理 程序 可 以 在 不 发 生 冲 突 的 情况 下 允许 多 个 VM 访问 物理 存储 器 与 CPU 资 
源 。WSv 管理 程序 与 虚拟 化 感知 硬件 (包括 采用 Intel VT 与 AMD“Pacifica” 技 术 的 处 理 器 ] 相 结合 ， 能 够 
为 来 宾 操作 系统 提供 高 性 能 与 近乎 无 限 的 可 扩展 性 。 


2. 硬件 虚拟 化 


由 于 WSv 管理 程序 充分 利用 了 VT 与 Pacifica 技术 , 因此 虚拟 化 多 个 操作 系统 的 大 部 分 工作 均 由 系统 
硬件 来 执行 ， 很 少 需要 由 虚拟 化 堆栈 与 管理 程序 来 执行 。 

依赖 于 硬件 的 软件 虚拟 化 平台 必须 频繁 地 中 断 来 宾 操作 系统 ， 中 断 的 方式 是 将 硬件 请 求 随时 转换 成 可 
与 虚拟 化 环境 兼容 的 形式 。Intel VT 与 AMD“Pacifica” 硬 件 技术 可 以 通过 将 虚拟 化 扩展 集成 到 x86 结构 
中 ， 消 除 许多 不 必要 的 随时 转换 工作 。 这 意味 着 针对 VT 与 “Pacifica” 而 设计 的 虚拟 化 平台 具有 更 低 的 开 
销 ， 并 且 VM 运行 效率 也 更 高 。 硬 件 虚拟 化 特性 与 WSv 的 软件 虚拟 化 组 件 之 间 进 行 协作 ， 可 以 创建 一 款 
高 性 能 的 虚拟 化 平台 。 

3. 64 位 结构 


Wsv 管理 程序 采用 了 64 位 设计 。WSsv 必须 运行 于 Windows Server 2008 x64 版 之 上 ， 并 能 为 VM 提 
供 近 平 无 限 的 可 扩展 性 。 与 基于 32 位 结构 的 虚拟 化 平台 相 比 ，WSsv 的 64 位 结构 可 提供 更 多 的 存储 空间 ， 
WSv 主 服务 器 可 以 容纳 高 达 1TB 的 物理 RAM。 

用 户 可 以 为 WSv 托管 的 每 个 VM 分 配 64 GB 的 RAM。 本 章 稍 后 将 介绍 WSv 的 动态 硬件 分 配 功 能 ， 
该 功能 可 以 根据 VM 的 资源 需求 将 可 变 的 RAM 容量 (多 达 64 GB) 分 配给 每 个 VM 。 这 可 以 将 要 求 更 严 
格 的 工作 负荷 进行 虚拟 化 ， 以 便 企业 可 以 充分 利用 该 功能 来 为 多 个 来 宾 操 作 系 统 及 VM 提供 宿主 服务 。 借 
助 资源 分 配方 面 的 灵活 性 ， 可 以 将 多 个 来 宾 操作 系统 整合 到 单个 WSv 主机 上 ， 每 个 操作 系统 在 运行 时 几 
平 不 会 降低 效率 。 

4. 64 位 来 宾 操 作 系 统 支 持 


Wsv 中 使 用 的 64 位 管理 程序 同时 支持 32 位 与 64 位 来 宾 操作 系统 .有 些 应 用 程序 可 能 仅 存在 于 32 位 
版 本 中 ， 也 有 些 应 用 程序 可 能 仅 存在 于 64 位 版 本 中 (例如 ，LOB 应 用 可 能 在 32 位 版 本 中 ， 而 Microsoft 
Exchange Server 2007 仅 可 作为 64 位 应 用 使 用 ]。32 位 与 64 位 VM 均 可 在 同一 WSv 服务 器 上 相互 运行 。 
同时 容纳 32 位 与 64 位 VM 的 灵活 性 是 WSv 管理 程序 的 主要 优势 。64 位 WSv 管理 程序 所 创建 的 虚拟 化 
基础 可 支持 企业 希望 遵循 的 未 来 成 长 路 线 。 


5. 操作 系统 分 区 


WsSv 可 以 使 用 分 区 在 多 个 VM 之 间 分 配 主机 系统 硬件 资源 。 分 区 是 对 包含 单个 操作 系统 的 主 服 务 器 进 
行 的 逻辑 分 割 。 父 分 区 包含 虚拟 化 堆栈 , 用 于 管理 子 分 区 的 内 存 与 虚拟 设备 。 子 分 区 是 指 VM。 在 WSv 中 ， 
只 能 有 一 个 父 分 区 (Windows Server 2008 x64 实例 或 Windows Server 2008 x64 的 服务 器 内 核 安装 ]， 但 
可 以 有 无 数 个 可 配置 的 子 分 区 。 

父 分 区 拥有 连接 到 WSv 主 服务 器 的 键盘 、 鼠 标 以 及 显示 器 。 父 分 区 还 包含 Windows Management 
Instrumentation (WMD 提供 程序 ， 能 够 简化 虚拟 化 环境 各 方面 的 管理 。 此 外 ,主机 系统 硬件 所 需 的 任何 独 
立 硬件 厂商 (IHV)】 驱动 程序 均 包含 在 父 分 区 中 。 子 分 区 形成 了 操作 系统 、 应 用 以 及 与 VM 相关 的 数据 文 
件 的 逻辑 容器 。 子 分 区 具有 对 主 服务 器 硬件 有 限 的 访问 权限 ， 并 且 必 须 通 过 称 为 VMBus 的 硬件 共享 模式 
来 访问 这 一 硬件 ， 本 章 稍 后 将 对 此 进行 介绍 。 
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6. 微 内 核 式 (Microkernelized) 管理 程序 架构 


WsSv 管理 程序 采用 了 与 微 内 核 操作 系统 相同 的 设计 原理 。 特 别 是 在 对 操作 系统 驱动 程序 及 其 他 易 受 攻 
击 的 组 件 的 执行 权限 级 别 较 低 这 一 方面 ， 这 意味 着 组 件 故障 或 受到 攻击 时 对 内 核 的 损害 有 限 或 毫 无 损害 。 
WSsv 管理 程序 使 用 类 似 的 设计 方法 来 实现 最 小 的 可 信 计 算 基础 (TCB)， 该 基础 没有 任何 自己 的 驱动 程序 
(这 些 均 包含 在 父 分 区 与 子 分 区 中 )。 此 微 内 核 式 管理 程序 结构 可 提供 更 稳定 、 更 安全 的 基础 平台 来 运行 
VM, 尤其 是 与 基于 单 片 管理 程序 的 虚拟 化 平台 相 比 较 ， 该 管理 程序 将 硬件 驱动 程序 集成 到 了 管理 程序 代码 
库 中 。 图 13-2 显示 了 WSv 结构 。 


13-2 ”虚拟 机 技术 架构 


7. 内 存 页 面 共享 (Memory Page Sharing) 


内 存 页 面 共享 是 一 项 WSv 功能 ， 可 最 大 限度 地 提高 VM 内 存 使 用 的 效率 。 当 两 个 VM 在 内 存 中 存储 
的 页 面 完 全 相同 时 ，WSv 将 保留 该 页 面 的 一 个 复制 ， 并 在 来 宾 操 作 系统 需要 更 改 该 页 时 才 复制 
(copy-on-write] 语义 来 简化 对 共享 页 面 的 更 改 。 例 如 ， 在 使 用 同一 操作 系统 运行 10 个 VM 的 WSv 主 
机 上 ， 这 些 VM 中 很 可 能 有 许多 共同 的 页 面 。WSv 可 找到 这 些 相同 的 页 面 并 在 所 有 VM 之 间 共 享 通用 
页 面 。 

页 面 共享 的 效率 因 工作 负载 同类 或 异类 的 程度 不 同 而 有 很 大 差异 。 例 如 ，10 个 运行 在 同一 操作 系统 的 
VM 的 页 面 共享 效率 比 10 个 运行 在 10 种 不 同 操作 系统 的 VM 更 高 。 页 面 共 享 可 用 于 任何 来 宾 操作 系 
统 ， 并 可 更 高 效 地 使 用 主 服 务 器 内 存 资源 。 


13.2.1 WSv 处 理 器 支持 


现代 的 服务 器 硬件 可 提供 多 种 处 理 器 配置 选项 。 服 务 器 主板 上 具有 多 个 插 槽 (socket)， 可 在 其 中 插 有 
多 核 处 理 器 。WSv 处 理 器 性 能 主要 与 可 用 处 理 器 内 核 的 数量 及 速度 成 比例 。 例 如 ， 插 有 双核 处 理 器 的 两 个 
插 横 可 以 为 WSv 提供 4 个 处 理 内 核 。 

WSsv 使 用 的 处 理 器 插 槽 数量 由 安装 的 Windows Server 2008 版 本 确定 。 表 13-1 提供 了 支持 处 理 器 的 
一 些 示 例 。 
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表 13-1 按 处 理 器 配置 与 操作 系统 版 本 划分 的 支持 处 理 器 示例 


父 分 区 操作 系统 


父 分 区 利用 4 个 处 理 器 内 核 
两 个 插 槽 插 有 双核 处 理 器 Windows Server 2008 Standard x64 可 为 每 个 子 分 区 分 配 多 达 8 个 逻辑 处 理 器 
8 个 插 槽 插 有 双核 处 理 器 | Windows Server 2008 Standard x64 i 


可 为 每 个 子 分 区 分 配 多 达 8 个 逻辑 处 理 器 
父 分 区 利用 8 个 处 理 器 内 核 
可 为 每 个 子 分 区 分 配 多 达 8 个 逻辑 处 理 器 
父 分 区 利用 8 个 处 理 器 内 核 
可 为 每 个 子 分 区 分 配 多 达 8 个 逻辑 处 理 器 


两 个 插 槽 插 有 双核 处 理 器 | Windows Server 2008 Enterprise x64 


16 个 插 槽 插 有 双核 处 理 器 Windows Server 2008 Enterprise x64 


备注 : 

Windows Server 2008 Standard Edition x64 能 够 利用 多 达 4 个 处 理 器 插 槽 。 

Windows Server 2008 Enterprise Edition x64 能 够 利用 多 达 8 个 处 理 器 插 模 。 

Windows Server 2008 Datacenter Edition x64 能 够 利用 多 达 16 个 处 理 器 插 横 。 

WsSv 能 够 为 VM 提供 作为 逻辑 处 理 器 的 处 理 器 内 核 。4 个 插 模 插 有 四 核 处 理 器 的 服务 器 包含 16 个 处 理 
内 核 ， 这 16 个 处 理 内 核 可 作为 逻辑 处 理 器 提供 给 VM。 每 个 VM 均 可 使 用 多 达 8 个 逻辑 处 理 器 进行 配置 。 
每 个 逻辑 处 理 器 可 将 该 逻辑 处 理 器 上 VM 的 计算 负载 转换 成 主 服务 器 中 物理 处 理 器 上 的 一 系列 的 执行 操作 。 

表 13-1 显示 了 几 种 可 能 的 配置 以 及 在 每 种 配置 中 相应 存在 的 处 理 器 分 配 。 子 分 区 中 安装 的 操作 系统 将 
决定 可 由 该 操作 系统 利用 的 逻辑 处 理 器 的 数量 。 


13.2.2 ”全 新 的 硬件 共享 结构 


1. VMBus 


WsSv 采用 了 一 种 全 新 的 硬件 共享 结构 ， 该 结构 基于 称 为 VMBus 的 跨 分 区 通信 通道 。VMBus 是 内 存 
总 线 与 分 区 间 通 信 机 制 中 的 一 种 高 速 的 点 到 点 技术 。 主 机 与 VM 可 使 用 VMBus 这 种 机 制 来 相互 通信 。 如 
前 所 述 ， 管 理 程序 可 以 管理 主机 系统 与 VM 以 及 主 服务 器 的 内 存 与 处 理 器 之 间 的 交互 。VMBus 管理 磁 答 、 
网 络 、 输 入 /输出 以 及 视频 硬件 交互 。 

2. Virtualization Service Providers (VSPs) 

VSP 常 驻 在 父 分 区 中 ， 并 可 与 位 于 子 分 区 中 的 Virtualization Service Client (VMs) 主 服 务 器 硬件 进行 
交互 。VSP 可 充当 多 路 复 用 器 ， 人 允许 多 个 子 分 区 共享 硬件 。 例 如 ， 在 具有 10 个 VM 但 只 有 一 个 物理 网 
络 适 配器 的 WSv 主机 上 ， 父 分 区 中 的 VSP 能 够 确保 所 有 这 些 VM 均 可 成 功 并 安全 地 共享 同一 个 NIC。 
Wsv 具有 用 于 存储 、 网 络 、 输 入 与 视频 的 VSP。 


3. Virtualization Service Clients (VSCs) 

VSC 是 来 宾 操 作 系统 中 的 驱动 程序 ， 该 操作 系统 可 以 通过 在 VMBus 上 与 父 分 区 中 的 VSP 进行 通信 
来 间接 地 访问 主 服务 器 硬件 。VSC 可 提供 完全 假想 的 虚拟 设备 (并 非 仿真 设备 ， 后 面 将 对 此 进行 更 为 详细 的 
介绍 )， 并 通过 VMBus 与 父 分 区 中 相应 的 VSP( 如 : 存储 、 网 络 、 输 入 或 视频 ) 进 行 通信 。 有 一 组 VSP 在 
父 分 区 中 运行 。 每 个 子 分 区 均 运 行 自己 的 一 套 VSC，VSC 能 够 与 父 分 区 中 相应 的 VSP 进行 通信 。 
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@ Windows Server 2008 二 一 


WSv 包括 集成 组 件 ， 这 些 组 件 取 代 了 Microsoft Virtual Server 2005 中 使 用 的 VM Addition。Microsoft 
Virtual Server 2005 中 的 VM Addition 用 于 增强 来 宾 操 作 系统 的 性 能 (通过 使 用 虚拟 化 感知 软件 组 件 来 修补 
来 宾 操 作 系统 ), 并 提供 集成 组 件 来 支持 各 项 功能 , 如 从 Microsoft Virtual Server 管理 界面 中 清除 来 宾 关 断 
功能 。 硬 件 辅助 的 虚拟 化 可 取消 不 必要 的 来 宾 操作 系统 修补 工作 。 集 成 组 件 可 在 WSv 中 执行 这 些 任 务 ， 
如 图 13-3 所 示 。 


Parent Partition Child Partitions 


13-3 ”Hyper-V 架构 


4. 假想 设备 (Synthetic Devices) 


Wsv 中 的 VMBus 结构 能 够 为 来 宾 操作 系统 提供 一 种 全 新 的 硬件 : 假想 设备 。 假 想 设备 是 映射 到 物理 
设备 但 并 非 仿真 物理 设备 的 虚拟 设备 。 仿 真 的 设备 可 以 创建 物理 设备 的 真正 软件 代表 。 例 如 ， 对 来 宾 操作 
系统 来 说 ， 仿 真 的 磁盘 控制 器 与 其 物理 副本 无 法 分 辨 。 这 意味 着 来 宾 操作 系统 也 同样 会 体会 到 其 物理 副本 
的 限制 。 

假想 设备 可 通过 该 操作 系统 集成 组 件 包 中 的 VSC 提供 给 所 有 来 宾 操作 系统 。 通 常 ， 基 于 Windows 
2000 Server 及 更 高 版 本 的 来 宾 操作 系统 可 以 使 用 假想 设备 。 表 13-2 列 出 了 为 所 支持 来 宾 的 操作 系统 提供 


的 虚拟 设备 。 
表 13-2 为 所 支持 来 宾 的 操作 系统 提供 的 虚拟 设备 
来 宾 操 作 系 统 虚拟 化 设备 类 型 

Windows 2000 Server SP4 和 

磁盘 控制 器 :仿真 

Windows Server 2003 a 
磁盘 控制 器 : 假想 ( 仅 在 安装 过 程 中 为 仿真 ) 

Windows Server 2008 全 全 人 
磁盘 控制 器 :假想 ( 仅 在 安装 过 程 中 为 仿真 ) 

网 络 适配器 ， 假想 

Wai 磁盘 控制 器 ， 仿真 

Windows Vista Wa 
磁盘 控制 器 : 假想 ( 仅 在 安装 过 程 中 为 仿真 ) 

SUSE Enterprise Linux 和 

磁盘 控制 器 : 假想 
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13.2.3 ”存储 功能 


Wsv 推出 了 几 项 与 VM 存储 硬件 相关 的 新 功能 。 在 Microsoft Virtual Server 中 ，VM 的 文件 内 容 存储 
在 一 个 或 多 个 虚拟 硬盘 (VHD) 文件 中 。 主 机 操作 系统 在 可 访问 的 文件 系统 、 典 型 的 内 部 硬盘 存储 器 或 存 
储 域 网 络 (SAN】) 上 维护 这 些 VHD 文件 。WSv 支持 以 全 新 的 方式 访问 来 宾 操 作 系 统 的 存储 器 。 


1. VM 的 传递 磁盘 访问 


传递 磁盘 访问 (Pass-Through Disk Access) 允许 VM 在 不 使 用 VHD 文件 的 情况 下 直接 访问 可 编写 的 文 
件 系 统 。 例 如 ， 具 有 SQL Server 数据 库 、 运 行 Windows Server 2008 的 VM 可 以 使 用 传递 磁盘 访问 来 访问 
位 于 iSCSI 或 光纤 通道 SAN 上 的 数据 库 文件 。 此 外 ， 还 可 对 此 VM 进行 配置 ， 以 访问 直接 连接 到 WSv 主 
服务 器 的 磁盘 上 的 分 区 。 

使 用 传递 磁盘 访问 使 得 非 虚拟 化 系统 也 能 访问 通常 以 VHD 格式 封装 以 便 在 文件 系统 上 进行 处 理 的 数 
据 。 存储 配置 中 的 这 一 额外 选项 为 WSv 使 用 场景 增添 了 灵活 性 。 例 如 ， 虚 拟 化 SQL Server 可 能 会 使 用 传递 
磁盘 访问 在 SAN 上 存储 其 数据 库 文件 , 这 样 , 报告 应 用 也 可 访问 这 些 文件 。 在 另 一 个 示例 中 , 虚拟 化 HIS 7.0 
Web 服务 器 可 能 会 使 用 传递 磁盘 访问 在 SAN 上 存储 Web 内 容 , 这 样 , 内 容 索 引 应 用 也 可 以 访问 这 些 文件 。 

2. 全 新 的 存储 设备 控制 器 结构 

WSv 中 使 用 的 VMBus 结构 能 够 为 VM 提供 假想 存储 设备 控制 器 。 假 想 存储 设备 控制 器 支持 高 达 255 
VHD/ 控 制 器 ， 并 且 每 个 VM 支持 无 数 个 控制 器 。 基 于 Windows Server 2003 或 更 高 版 本 以 及 Windows XP 
或 更 高 版 本 的 来 宾 操作 系统 可 以 利用 假想 存储 设备 控制 器 。 

不 支持 假想 设备 的 来 宾 操 作 系 统 将 使 用 仿真 IDE 控制 器 来 进行 存储 访问 。Microsoft Virtual Server 
2005 中 的 仿真 SCSI 控制 器 已 删除 。 这 是 因为 仿真 IDE 控制 器 已 修改 ， 克 服 了 以 前 的 局 限 性 。WSv 中 的 
全 新 仿真 IDE 控制 器 具有 与 Microsoft Virtual Server 2005 中 的 仿真 SCSI 控制 器 相同 类 型 的 功能 。 


13.2.4 ”强大 稳健 的 网 络 


1.VLAN 支持 


Wsv 充分 使 用 虚拟 开关 来 控制 进入 与 退出 VM 的 网 络 通信 量 并 确保 其 安全 。WSv 虚拟 开关 可 与 物理 
网 络 虚 拟 LAN (VLAN) 标记 关联 , 以 限制 通过 该 虚拟 开关 与 指定 VLAN 的 网 络 通信 。 可 以 将 多 个 WSv 虚 
拟 开关 与 单个 物理 网 络 适配器 关联 。WSv 中 的 VLAN 支持 可 以 通过 限制 从 VM 到 指定 VLAN 的 网 络 通信 为 
VM 提供 更 高 的 网 络 安全 性 。 


2. PXE 引导 


Wsv 中 的 虚拟 网 卡 支持 预 引导 执行 环境 (PXE] 启动 。 这 一 网 络 启动 使 得 客户 能 够 以 类 似 物理 服务 器 
的 方式 来 配置 其 VM。 为 了 利用 这 一 功能 ， 需 要 在 主机 网 络 上 使 用 PXE 基础 设施 。 


3. VM NAP 支持 


WsSv 可 与 Windows Server 2008 中 的 网 络 访问 保护 (NAP) 功能 配合 使 用 , 能 够 防止 有 害 的 VM 访问 
企业 网 络 并 危及 其 安全 。NAP 可 用 于 配置 与 实施 计算 机 正常 运行 状态 要 求 ， 并 在 不 符合 要 求 的 计算 机 连接 
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@ Windows Server 2008 二 二 二 工人。 


到 公司 网 络 之 前 进行 更 新 或 修正 。 借 助 NAP， 管 理 人 员 可 以 配置 正常 运行 策略 ， 以 定义 软件 要 求 、 安 全 更 
新 要 求 以 及 连接 至 企业 网 络 所 需 的 配置 设置 等 。 

NAP 可 通过 评估 客户 机 的 正常 运行 状态 并 在 计算 机 不 符合 要 求 时 限制 网 络 访问 来 实施 正常 运行 要 求 。 
客户 端 与 服务 器 端 组 件 均 可 协助 修正 不 符合 要 求 的 计算 机 ， 以 使 它们 能 够 获得 不 受 限 制 的 网 络 访问 。 如 果 
计算 机 确定 为 不 符合 要 求 ， 则 可 以 拒绝 它 访 问 该 网 络 ， 也 可 以 立即 对 其 进行 修正 ， 使 其 符合 要 求 。 

NAP 实施 方法 支持 四 种 网 络 访问 技术 ， 这 些 技术 可 与 NAP 配合 使 用 来 实施 正常 运行 策略 : Internet 
协议 安全 性 (IPSec) 实施 、802.1X 实施 、 支 持 路 由 与 远程 访问 的 虚拟 专用 网 (VPN) 实施 以 及 动态 主机 配 
置 协 议 (DHCP) 实施 。 

NAP 的 优势 在 于 其 应 用 于 VM 的 方式 与 应 用 于 环境 中 的 物理 计算 机 的 方式 相同 (第 5 章 中 对 NAP 进 
行 了 更 全 面 的 介绍 )。 


13.2.5 ”基于 角色 的 灵活 安全 性 


在 运行 多 个 VM 的 WSv 上 使 用 基于 角色 的 安全 性 意味 着 限制 一 个 或 多 个 VM 管理 员 的 访问 权限 。 例 
如 ， 管 理 角色 可 能 是 企业 市 场 部 的 数据 库 管 理 员 。 通 过 以 非 虚拟 化 配置 方式 运行 的 专用 数据 库 服务 器 ， 可 
以 为 数据 库 管 理 员 分 配 访问 数据 库 服务 器 ， 而 非 企业 内 任何 其 他 服务 器 的 权限 。 

由 于 非 虚拟 化 服务 器 通常 利用 率 不 高 ， 因 此 企业 将 把 以 前 部 署 在 专用 服务 器 上 的 工作 负载 整合 到 整合 
型 服务 器 上 。 在 上 面 的 示例 中 ， 可 能 将 营销 数据 库 服 务 器 整合 至 运行 其 他 数据 库 与 应 用 程序 的 服务 器 上 。 
这 种 整合 难以 确保 服务 器 的 安全 性 ， 因 为 多 个 管理 员 仅 拥有 访问 所 需 VM 需要 的 访问 级 别 ， 而 不 具备 对 主 
机 服务 器 或 其 他 VM 的 管理 访问 权限 ,在 此 示例 中 , 营销 数据 库 管理 人 员 只 能 访问 和 管理 营销 数据 库 VM。 

利用 WSv， 可 以 为 工作 负载 [如 营销 数据 库 ) 分 配 其 自己 的 VM 。 由 于 虚拟 机 的 安全 界限 与 分 立 物理 服 
务 器 相同 ， 因 此 可 以 为 营销 数据 库 管理 人 员 分 配对 存放 市 场 数据 库 的 虚拟 服务 器 的 管理 访问 权限 ， 而 不 赋 
了 予 他 们 对 主机 或 组 织 机 构 内 其 他 虚拟 服务 器 的 管理 访问 权限 。 

WSv 中 的 这 项 功能 使 整合 服务 器 更 为 轻松 与 灵活 。 


13.2.6 ”服务 器 核心 上 的 WSv 


WsSv 可 作为 角色 安装 在 服务 器 核心 上 。 服 务 器 核心 为 运行 一 个 或 多 个 以 下 服务 器 角色 提供 了 环境 。 

WSv。 

动态 主机 配置 协议 (DHCP) 服务 器 。 

域名 系统 (DNS)】 服务 器 。 

文件 服务 器 。 

Active Directory@ 目录 服务 (AD DS)。 

Active Directory 轻 量 级 目录 服务 (AD LDS)。 

Windows Media Services 。 

打印 管理 。 

在 服务 器 核心 上 运行 WSv 可 提供 下 列 额外 的 安全 性 与 性 能 优势 。 

和 ”减少 攻击 面 :由 于 服务 器 核心 使 用 了 一 组 最 少 的 DLL 与 系统 组 件 ， 因 此 可 以 减少 遭 到 攻击 与 安 
全 威胁 的 可 能 性 。 在 Windows Server 2008 的 服务 器 核心 安装 中 不 存在 通常 成 为 攻击 目标 的 应 
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用 ， 如 Internet Explorer。 

和 ”降低 软件 更 新 要 求 : 服务 器 核心 提供 了 一 组 更 少 的 服务 器 角色 。 由 于 服务 器 上 未 提供 的 角色 不 必 
通过 软件 更 新 来 进行 维护 ， 因 此 服务 器 核心 需要 的 Windows 更 新 下 载 更 少 ， 频 率 也 更 低 。 服 务 器 
核心 的 额外 优势 在 于 频率 更 低 的 重新 引导 ， 因 为 Windows 更 新 需要 强制 重新 引导 。 

”性 能 : 服务 器 核心 的 内 存 尺寸 非常 小 ， 同 时 也 是 运行 WSv 的 平台 中 开销 最 低 的 。 

由 于 WSv 的 MMC 3.0 管理 控制 台 能 够 轻松 地 从 工作 站 或 另 一 个 Windows Server 2008 服务 器 创 
建 并 管理 VM， 因 此 服务 器 核心 可 能 是 众多 WSv 安装 的 Windows Server 2008 理想 配置 。WSyv 中 
的 WMI 提供 程序 (在 本 章 后 面部 分 进行 讨论 ) 与 PowerShell 脚本 支持 能 够 为 主机 服务 器 与 来 宾 VM 
基于 脚本 的 管理 提供 强大 而 灵活 的 支持 。 


13.2.7 ”灵活 的 资源 控制 


Wsv 能 够 以 可 控制 的 灵活 方式 在 运行 的 VM 之 间 分 配 资源 。Microsoft 虚拟 服务 器 能 够 为 VM 分 配 固定 
的 RAM 容量 。WSv 扩展 了 这 一 功能 ， 包 括 动态 RAM 分 配 。 借 助 于 动态 RAM 分 配 ， 可 以 为 VM 分 配 最 低 
保证 的 RAM 量 以 及 所 需 的 RAM 量 。 

1. 内 存 分 配 


WsSv 包括 的 新 功能 可 用 于 管理 分 配给 虚拟 机 VM 的 内 存 。 在 WSv 中 ， 使 用 内 存 分 配 来 配置 VM。 连 
同 此 配置 设置 一 起 ， 还 可 配置 内 存 保留 设置 。 内 存 保留 是 保证 为 VM 提供 的 内 存 分 配 的 一 部 分 。 例 如 ， 如 
果 将 VM 配置 为 8 GB 的 内 存 , 并 具有 75% 的 内 存 保留 , 则 在 VM 启动 时 将 为 其 分 配 并 保证 提供 6GB 的 
物理 RAM .剩余 的 2 GB RAM 可 能 作为 物理 RAM 页 面 (如 果 存 在 ] 分 配 , 否则 将 对 其 进行 磁盘 可 调 页 配置 。 

Wsv 的 内 存 保 留 功能 特别 适用 于 性 能 不 太 重要 的 测试 与 开发 环境 。 在 来 宾 操作 系统 性 能 非常 重要 的 情 
况 下 ， 建 议 将 内 存 保 留 设 置 为 100%。 

WSv 内 存 保留 功能 提供 的 灵活 性 使 得 管理 员 能 够 在 测试 与 开发 环境 中 获得 更 高 的 虚拟 机 密度 。 

2. CPU 资源 分 配 

WSv 能 够 使 用 灵活 的 CPU 资源 分 配 模式 在 运行 的 虚拟 机 之 间 分 配 主机 服务 器 物理 CPU 资源 。 表 13-3 
介绍 了 WSv CPU 资源 分 配 计算 中 使 用 的 设置 。 


表 13-3 ”CPU 资源 分 配 设置 
项 目 说 明 
VM 相对 于 所 有 其 他 VM 的 资源 需求 赋予 的 相对 权重 。 根 据 需 要 可 以 从 相对 权重 较 低 的 其 他 VM 
为 相对 权重 较 高 的 VM 动态 分 配额 外 的 资源 。 默 认 情 况 下 ， 所 有 VM 的 相对 权重 均 为 100， 因 此 


它们 的 资源 要 求 相 同 ， 没 有 任何 优先 顺序 。 管 理 员 可 以 为 每 个 VM 分 配 的 相对 权重 为 1 一 10 000。 
在 大 多 数 情况 下 ， 这 是 唯一 需要 进行 配置 的 设置 


相对 权重 


保留 的 容量 (一 个 CPU 
的 百分比 ) 
最 大 容量 (一 个 CPU 
的 百分比 ) 
保留 容量 (系统 百分比 ) | 为 此 VM 保留 的 总 体系 统 CPU 容量 的 百分比 


为 此 VM 保留 的 单个 CPU 的 容量 。 为 VM 提供 的 CPU 容量 百分比 绝 不 能 小 于 此 值 


在 任何 给 定时 间 此 VM 可 占用 的 单个 CPU 总 资源 的 最 高 百分比 
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续 表 
项 目 说 明 


最 大 容量 (系统 百分比 ) | 在 任何 给 定时 间 此 VM 可 占用 的 总 体系 统 CPU 资源 的 最 高 百分比 

为 所 有 当前 正在 运行 的 VM 保留 的 物理 计算 机 的 总 CPU 容量 。 如 果 物理 计算 机 具有 多 个 CPU， 
则 此 数字 表示 所 有 CPU 保留 的 百分比 之 和 

未 为 所 有 当前 正在 运行 的 VM 保留 的 物理 计算 机 的 总 CPU 容量 。 如 果 物 理 计算 机 具有 多 个 
CPU， 则 此 数字 表示 所 有 可 用 CPU 的 百分比 之 和 


保留 的 总 容量 | 


剩余 的 可 用 容量 


备注 : WSv 提供 了 其 自己 的 资源 管理 器 ， 以 便 为 VM 分 配 系统 资源 。 其 他 资源 管理 器 (如 : Windows 
System Resource Manager) 不 应 与 WSv 一 起 使 用 。 


13.2.8 ”WSyv 的 高 可 用 性 


Wsv 包括 可 与 故障 转移 群集 配合 使 用 的 增强 特性 ， 以 确保 在 Windows 虚拟 运行 的 VM 上 具有 高 可 用 
性 。 在 与 故障 转移 群集 及 System Center Virtual Machine Manager 一 起 使 用 时 ,WSv 使 得 管理 员 能 够 以 最 
少 的 服务 中 断 响应 计划 停机 的 需求 及 对 意外 停机 做 出 回应 。 

WsSv 使 用 以 下 功能 实现 高 度 可 用 的 VM。 
故障 转移 群集 。 

Quick Migration 。 
备份 。 
群集 与 WSv。 

Windows Server 2008 群集 通过 在 出 现 意外 或 计划 停机 时 允许 VM 迁移 到 群集 中 的 其 他 节点 , 来 实现 
WSsv 的 高 可 用 性 。 群 集 实现 的 方式 有 : 对 WSv 角色 本 身 进行 群集 (如 主机 群集 )， 或 者 对 以 WSv 方式 运 
行 的 各 个 VM 进行 群集 (如 来 宾 群 集 )。 

1. 主机 群集 


使 用 Windows Server 2008 故障 转移 群集 可 实现 WSv 角色 高 度 可 用 性 ， 这 意味 着 一 个 或 多 个 运行 
WSv 的 服务 器 添加 了 故障 转移 群集 角色 ， 并 以 受 支持 的 群集 配置 进行 了 配置 。 这 就 是 主机 群集 。 故 障 转移 
群集 的 主要 要 求 是 对 群集 节点 共享 存储 。 可 能 包括 iSCSI 或 光纤 通道 存储 域 网 络 (SAN)。 所 有 VM 均 存储 
在 共享 存储 区 域 中 , 并 且 由 一 个 WSv 节点 来 管理 正在 运行 的 VM 状态 。 在 发 生计 划 停 机 时 , 可 以 使 用 Live 
Migration 功能 (本 章 稍 后 介绍 ) 将 运行 的 VM 移 到 另 一 个 群集 节点 上 。 在 发 生意 外 停机 时 , 群集 服务 将 在 现 
存 的 群集 节点 上 自动 重新 启动 VM。 主 机 群集 能 够 为 整个 WSv 平台 以 及 常 驻 在 WSv 服务 器 上 的 所 有 
VM 提供 高 可 用 性 。 

2. 来 宾 群集 

可 使 运行 于 WSv 中 的 VM 群集 化 , 即使 基本 主机 操作 系统 并 非 两 个 , 或 可 配置 的 更 多 VM 的 情况 下 
也 如 此 ， 这 样 ，VM 中 的 来 宾 操 作 系 统 就 能 够 访问 存储 群集 资源 的 外 部 共享 存储 器 。 如 果 来 宾 操作 系统 支 
持 群 集 ， 则 它们 经 过 配置 后 可 以 为 群集 资源 提供 高 可 用 性 。 

使 用 WSv 来 宾 群 集 可 以 为 数据 库 、 文 件 共享 、 网 络 基础 架构 与 应 用 服务 等 大 量 资源 提供 高 可 用 性 。 
WsSv 来 宾 群 集 可 以 与 Windows Server 2008 网 络 负载 均衡 (NLB) 服务 相 结合 , 以 便 多 个 WSv 主机 服务 
器 同时 提供 高 可 用 性 与 负载 均衡 。 
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NLB 是 一 种 功能 ， 其 可 在 NLB 群集 中 跨 多 个 服务 器 为 网 络 客户 端 与 服务 器 应 用 分 配 负载 。NLB 对 确 
保 无 状态 应 用 (如 在 Internet 信息 服务 (IIS) 上 运行 的 基于 Web 的 应 用 ] 在 工作 负载 增加 时 通过 添加 额外 
的 服务 器 对 其 扩展 尤为 有 用 。 在 负载 增加 时 ，NLB 人 允许 添加 额外 的 服务 器 来 实现 可 扩展 性 。 此 外 ，NLB 还 
允许 用 户 轻松 蔡 换 故障 服务 器 来 实现 可 靠 性 。 

3. WSy 与 Geo-clustering 

在 Windows Server 2008 故障 转移 群集 中 ， 取 消 了 小 于 500 ms 的 网 络 时 延 要 求 。 现 在 ， 时 延 要 求 为 
可 配置 的 。 在 Windows Server 2008 中 ， 群 集 可 以 跨越 子 网 。 这 就 不 需要 像 以 前 一 样 要 求 使 用 VLAN 来 
连接 地 理 位 置 分 散 的 群集 节点 。 

Windows Server 2008 中 Geo-clustering 的 改进 使 得 用 户 能 够 将 数据 中 心 操作 故障 转移 到 与 主 站 点 
相隔 一 段 距 离 的 恢复 站 点 。 

4. WSv Quick Migration 

利用 WSv Quick Migration 功能 可 以 将 正在 运行 的 VM 从 一 个 WSv 主机 移 到 另 一 个 主机 。 主 机 群集 
配置 支持 Quick Migration， 能 够 提供 Quick Migration 所 需 的 基本 共享 存储 管理 与 资源 再 分 配 技术 。 

管理 Quick Migration 的 方式 有 三 种 。 其 中 之 一 是 ，System Center Virtual Machine Manager (SCVMM) 
提供 一 个 GUI 界面 ， 允 许 正在 运行 的 VM 从 一 个 WSv 主 服务 器 拖 放 迁移 到 同一 群集 中 的 另 一 个 主 服务 


个 WSv 主 服务 器 Quick Migration 到 同一 群集 中 另 一 个 主 服务 器 的 过 程 ， 同 时 最 大 限度 地 缩短 停机 时 间 。 
WSsv 中 的 WMI 提供 程序 还 可 以 对 上 述 过 程 的 Quick Migration 编写 脚本 。Quick Migration 的 速度 取决 于 
内 存 中 必须 移动 的 信息 量 以 及 共享 存储 设备 的 速度 。 


13.2.9 ”管理 功能 


1. Virtual Server Migration 


Microsoft Virtual Server 2005 与 WSv 利用 通用 的 开放 式 VHD 格式 来 存储 虚拟 机 的 文件 内 容 。 这 意 
味 着 在 Virtual Server 2005 中 创建 的 现 有 VM 可 以 迁移 到 WSv 主机 上 。 管 理 员 可 以 在 Virtual Server 
2005 中 创建 与 管理 现 有 的 虚拟 化 工作 负载 ， 并 在 部 署 之 后 ， 将 这 些 VM 直接 移 到 WSv， 而 不 必 重 新 创建 
VM。 这 可 以 确保 管理 员 能 够 继续 利用 其 在 虚拟 化 基础 设施 方面 的 现 有 投资 ， 并 在 准备 就 绪 后 将 该 基础 设施 
移 到 WSv 上 。 

2. WMI 提供 程序 

WSv 可 通过 Windows Management Instrumentation (WMD 进行 管理 。WSv WMI 提供 程序 可 控制 
WSv 所 有 方面 的 对 象 ， 其 中 包括 : 

”管理 服务 器 设置 。 

”创建 与 配置 VM。 

”创建 与 配置 虚拟 网 络 开 关 。 

”控制 正在 运行 的 VM 状态 。 

此 外 , WMI 提供 程序 还 允许 外 部 脚本 编写 与 管理 工具 (如 Windows PowerShell、 System Center Virtual 
Machine Manager 及 其 他 第 三 方 工具 ) 管 理 WSv 服务 器 。 
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3. 组 策略 集成 


管理 员 可 以 使 用 组 策略 来 管理 在 Windows Server 2008 与 Windows Server 2008 服务 器 核心 上 运行 的 
WSv 服务 器 的 全 局 设置 。 这 样 就 可 以 使 用 管理 员 所 熟悉 的 现 有 管理 工具 对 WSv 服务 器 组 进行 集中 管理 。 


4. 性 能 计数 器 


WSsv 提供 了 一 组 详细 的 性 能 与 资源 利用 率 计数 器 ， 这 些 计 数 器 能 够 按 全 局 或 按 每 个 VM 报告 资源 的 
使 用 情况 。 这些 性 能 计数 器 使 得 管理 员 能 够 确定 VM 使 用 主 服务 器 资源 的 方式 。 这 一 信息 可 以 帮助 管理 员 
隔离 WSv 环境 中 的 性 能 问题 ， 并 最 高 效 地 将 WSv 主机 服务 器 硬件 分 配给 VM。WSv 虚拟 化 计数 器 还 能 
提供 源 数据 进行 退 款 清算 。 


5. 关键 故障 通知 


WSv 采用 关键 故障 通知 来 识别 危急 情况 并 做 出 相应 回应 。 例 如 ，WSv 主机 服务 器 可 能 配备 了 不 间断 
电源 (UPS)。 在 出 现 停电 时 ，UPS 将 向 父 分 区 发 出 信号 告知 电源 已 断 ， 并 告诉 父 分 区 预期 电池 使 用 寿命 还 
有 多 长 。WSv 能 够 以 各 种 方式 来 响应 这 一 关键 故障 通知 。WSv 可 以 做 出 以 下 响应 之 一 。 
保存 状态 并 关闭 VM 电源 。 
关闭 来 宾 操 作 系 统 。 

不 保存 状态 即 关闭 VM 电源 。 
如 果 对 WSv 主机 进行 了 相应 配置 ， 则 启动 Live Migration。 
来 宾 操 作 系 统 支持 。 

业务 部 依赖 于 动态 数据 中 心 为 每 项 业务 职能 提供 最 高 效 的 工具 ， 即 使 这 些 工 具 要 求 独特 的 硬件 或 软件 
配置 。 例 如 ， 依 赖 于 制造 工艺 且 基 于 Linux 的 垂直 应 用 应 能 与 其 他 领域 基于 Windows 的 应 用 共存 。 

WSv 支持 运行 Windows、Linux 与 支持 Xen 的 Linux 的 64 位 及 32 位 VM， 以 及 支持 与 大 多 数 
主要 操作 系统 兼容 的 32 位 VM。 以 前 专用 于 单一 应 用 功能 的 服务 器 可 以 替换 为 采用 动态 硬件 管理 与 故障 
转移 群集 等 先进 功能 的 VM。 


6. 正在 进行 的 VM 热 备份 

WSv 可 与 Windows Server 2008 中 的 VSS 进行 交互 ， 以 允许 备份 正在 运行 的 VM。 这 意味 着 在 服务 
器 开始 将 其 VHD 文件 复制 到 备用 位 置 时 ， 可 以 对 正在 运行 的 整个 服务 器 进行 备份 。 

7. WSv 联机 备份 


WSv 具有 集成 的 VSS 编写 器 组 件 。.VSS 编写 器 组 件 包含 在 可 提供 一 致 卷 影 副 本 的 应 用 程序 与 服务 中 。 
当 应 用 程序 与 服务 正在 运行 时 ， 编 写 器 可 与 卷 影 复制 服务 (通常 由 备份 程序 调用 ) 配 合 使 用 ， 以 确保 在 创建 
卷 影 副本 时 不 对 卷 执行 写 入 操作 。 此 技术 允许 在 VM 联机 并 运行 时 创建 备份 。 

8. WSv 灾难 恢复 准备 工作 


借助 Wsv, 在 灾难 恢复 准备 时 可 以 使 用 比 非 虚拟 化 服务 器 及 某 些 其 他 产品 更 多 的 选项 。 由 于 管理 员 可 
以 备份 正在 运行 的 VM， 因 此 无 须 关闭 虚拟 服务 器 即 可 对 其 进行 系统 备份 。 这 便 为 管理 员 的 备份 计划 提供 
了 更 大 的 灵活 性 。 

如 果 WSv 主 服务 器 出 现 故障 ， 则 该 主机 上 的 所 有 VM 将 无 法 使 用 ， 直 到 主 服务 器 修复 或 替换 。 如 果 
管理 员 已 将 该 主机 的 VM 备份 到 备用 位 置 ， 则 备份 的 VHD 文件 包含 将 VM 恢复 到 备份 点 所 需 的 全 部 信 
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息 。 如 果 有 一 个 WSv 服务 器 具有 未 使 用 的 硬件 容量 ， 则 可 以 将 该 备份 虚拟 机 还 原 到 此 备用 服务 器 ， 然 后 
接 通 VM 电源 ， 恢 复 服务 。 尽 管 此 灾难 恢复 方法 应 经 过 测试 ， 以 确定 辅助 服务 是 否 会 受 此 还 原 操作 类 型 影 
响 ， 但 它 提供 了 一 种 从 影响 WSv 主机 的 灾难 中 快速 恢复 的 出 色 可 选 方法 。 


9. VM 快照 


Wsv 可 与 Microsoft Volume Shadow Copy 服务 相 集 成 ， 以 使 管理 员 能 够 创建 正在 运行 的 VM 的 时 间 
点 (point-in-time) 快照 。 这 在 备份 与 灾难 恢复 的 情况 下 非常 有 用 。 此 外 ， 当 管理 员 需 要 实施 复杂 或 高 风险 
的 配置 更 改 时 也 极为 有 用 ， 因 为 一 旦 情况 不 妙 ， 他 们 还 可 以 选择 回 滚 这些 更 改 。 在 管理 员 创建 VM 的 快照 
时 ，WSv 可 在 拍摄 快照 之 前 确保 VM 处 于 一 致 的 状态 。 


13.3 创建 虚拟 机 


本 节 将 会 演示 在 64 位 的 Windows Server 2008 上 安装 虚拟 机 ， 管 理 虚拟 机 ， 设 置 虚拟 机 网 络 ， 创 建 
虚拟 机 快照 等 操作 。 


13.3.1 安装 Hyper-V 


在 64 位 的 操作 系统 上 ， 安 装 Windows Server 企业 版 ， 在 BIOS 中 启用 对 虚拟 化 技术 的 支持 。 安 装 
Hyper-V 角色 ， 打 上 最 新 的 Hyper-V 补丁 。 


.| 提示 : 以 下 操作 在 Dell D630 系列 笔记 本 电脑 上 进行 。 


Q@ 设置 笔记 本 BIOS， 启 用 CPU 对 虚拟 技术 的 支持 。 

@ ”启动 计算 机 。 

@ ”打开 服务 器 管理 器 ， 如 图 13-4 所 示 ， 单 击 “ 添 加 角色 ”按钮 。 
@ 如 图 13-5 所 示 ， 在 弹出 的 “开始 之 前 ”界面 中 ， 单 击 “ 下 一 步 ” 按 钮 。 


图 13-4 添加 角色 图 13-5 添加 角色 向 导 
回 ”如 图 13-6 所 示 ， 在 出 现 的 “选择 服务 器 角色 ”界面 中 ， 选 中 Hyper-V 复 选 框 ， 单 击 “ 下 一 步 ” 
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按钮。 
如 图 13-7 所 示 ， 在 出 现 的 Hyper-V 界面 中 ， 单 击 “ 下 一 步 ” 按 乌 。 
本 选择 服务 器 角色 EE 


图 13-6 选择 角色 图 13-7 Hyper-V 介绍 


在 出 现 的 “创建 虚拟 网 络 ” 界 面 中 ， 选 中 “本 地 连接 ” 复 选 框 ， 单 击 “ 下 一 步 ” 
按钮 。 
如 图 13-9 所 示 ， 


@ 如 图 13-8 所 示 ， 


在 出 现 的 “确认 安装 选择 ”界面 中 ， 单 击 “ 安 装 ”按钮 ， 完 成 Hyper-V 角色 的 


图 13-8 创建 虚拟 网 络 


图 13-9 确认 安装 


回 从 微软 站 点 下 载 下 列 Hyper-V 补丁 ， 依 次 双击 安装 。 
部 Windows6.0-KB952627-x64.msu 
加 Windows6.0-KB951636-x64.msu 
男 Windows6.0-KB950050-x64.msu 


13.3.2 ”Hyper-V 设置 


在 安装 虚拟 操作 系统 前 ， 先 更 改 Hyper-V 的 常规 设置 ， 更 改 虚拟 机 默认 位 置 。 
Q@ ”打开 Hyper 管理 工具 ， 如 图 13-10 所 示 ， 右 击 服务 器 ， 在 弹出 的 快捷 菜单 中 选择 “Hyper-V 设置 ” 
命令 。 
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第 G3 章 “Windows Server 虚拟 化 


回 如 图 13-11 所 示 ， 单 击 “ 虚 拟 硬盘 ”， 可 以 更 改 虚 拟 硬盘 的 位 置 到 一 个 较 大 的 磁盘 分 区 ， 单 击 “ 确 
定 ” 按 钮 。 


图 13-10 配置 Hyper-V 图 13-11 更 改 虚 拟 硬盘 


图 如 图 13-12 所 示 ， 单 击 “ 虚 拟 机 ”， 可 以 更 改 虚拟 机 配置 文件 的 默认 文件 夹 路 径 ， 单 击 “ 确 定 ” 
按钮 。 

@ 如 图 13-13 所 示 ， 单 击 “ 键 盘 ”， 指 定 当 运 行 虚 拟 机 连接 时 ， 指 定 Windows 键 组 合 发 送 给 虚拟 
机 还 是 物理 机 。 


图 13-12 虚拟 机 配置 文件 的 默认 位 置 图 13-13 设置 键盘 


@ 如 图 13-14 所 示 ， 单 击 “ 鼠 标 释放 键 ”， 指 定 当 未 安装 虚拟 机 驱动 程序 时 希望 用 于 释放 鼠标 的 键 
组 合 。 

如 图 13-15 所 示 ， 单 击 “ 用 户 凭据 ”， 指 定 是 否 希 望 对 虚拟 机 连接 自动 使 用 默认 凭据 连接 到 正在 
运行 的 虚拟 机 。 默 认 凭据 就 是 用 户 用 来 登录 当前 Windows 会 话 的 凭据 。 选 中 “自动 使 用 默认 凭据 
(无 提示 )” 复 选 框 。 
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图 13-14 鼠标 释放 键 图 13-15 用 户 和 凭据 


13.3.3 ”创建 并 安装 虚拟 机 


@ 选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 “Hyper-V 管理 器 ”命令 。 
@@ 如 图 13-16 所 示 ， 选 择 “ 新 建 ” 一 “虚拟 机 ”命令 。 
@ 如 图 13-17 所 示 ， 在 弹出 的 “开始 之 前 ”界面 中 ， 单 击 “ 下 一 步 ” 按 钮 。 


图 13-16 新建 虚拟 机 图 13-17 新 建 虚拟 机 向 导 


如 图 13-18 所 示 ， 在 弹出 的 “指定 名 称 和 位 置 ” 界 面 中 ， 输 入 名 称 ， 单 击 “ 下 一 步 ”按钮 。 

如 图 13-19 所 示 ， 在 出 现 的 “分 配 内 存 ” 界 面 中 ， 输 入 虚拟 机 使 用 的 内 存 ， 单 击 “ 下 一 步 ” 
按钮 。 

如 图 13-20 所 示 ， 在 出 现 的 “配置 网 络 ” 界 面 中 ， 按 照 图 中 所 示 选 择 连接 ， 单 击 “ 下 一 步 ” 
按钮 。 

如 图 13-21 所 示 ， 在 “连接 虚拟 硬盘 ”界面 中 ， 选 中 “创建 虚拟 硬盘 ” 单 选 按钮 ， 输 入 名 称 和 大 
小 以 及 位 置 ， 单 击 “ 下 一 步 ” 按 钮 。 

如 图 13-22 所 示 , 在 “安装 选项 ”界面 中 , 选中 “从 引导 CD/DVD-ROM 安装 操作 系统 ” 单 选 按钮 ， 
并 选中 “映像 文件 ” 单 选 按钮 ， 浏 览 到 Windows Server 2008 的 安装 文件 ， 单 击 “ 下 一 步 ”按钮 。 
如 图 13-23 所 示 ， 在 “正在 完成 新 建 虚拟 机 向 导 ” 界 面 中 ， 选 中 “创建 之 后 启动 虚拟 机 ” 复 选 框 ， 


@ @O© 


©@ 9Q 


四 
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单 击 “ 完 成 ”按钮 。 


拘 定 名 称 和 信守 


| 人 本 内存 
Ee app 有 i 
Ee a 下 Sb | : 
nr i mm 
mR | Er 
id er 4 Ev 
克基 和 大 本 Bod 
te dE He 


:Es mw | wa :#20 zw | wa | 


图 13-18 ”指定 虚拟 机 名 称 和 位 置 图 13-19 ”指定 内 存 
A 本 本 网 络 


2 


A 下 寻 虞 执 本 入 


poe ten ren mnthen 2 RR me oo 
作 定 名 机 可 击 2 
gm cr mr sm 
EE 
tiene 
Fr Fr 
和 旺 


-po Sm | RN 


13-20 ”指定 网 络 


点 EE] 


正在 完成 于 诺 所 机 问 时 
二 pmp NAR, UE A Ty 
Cr] WR 人 We 
全 
M3 oronsett 
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‘Es 下 |_ mn 


p02 四 
图 13-22 指定 光驱 图 13-23 完成 创建 虚拟 机 向 导 
@@ ”完成 Windows Server 2008 64 位 企业 版 的 安装 。 


13.3.4 ”安装 集成 服务 


Hyper-V 作 了 虚拟 机 以 后 ， 应 安装 Integration Service。 集 成 了 驱动 程序 和 其 他 一 些 虚 拟 机 的 增强 
程序 ， 可 以 提高 速度 ， 也 可 以 使 你 的 鼠标 自由 出 入 虚拟 机 。 但 还 是 不 支持 文件 拖 入 拖 


上 ， 毕 竟 其 目的 是 做 
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网 络 服务 器 使 用 ， 而 不 是 演示 操作 。 
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在 来 宾 操作 系统 安装 集成 服务 


@ 选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 
“Hyper-V 管理 器 ”命令 。 
@ 如 图 13-24 所 示 ， 右 击 安装 好 了 的 虚拟 机 ， 从 
弹出 的 快捷 菜单 中 选择 “连接 ”命令 。 
@ 如 图 13-25 所 示 ， 在 出 现 的 虚拟 机 连接 对 话 框 
中 ， 选 择 “ 文 件 ” 一 “设置 ”命令 。 
@ 如 图 13-26 所 示 ， 在 出 现 的 设置 对 话 框 中 ， 单 
击 “ 集 成 服务 ” 可 以 看 到 集成 服务 包括 的 服务 。 
回 如 图 13-27 所 示 ， 选 择 “ 操 作 ” 一 “插入 集成 
服务 安装 盘 ” 命 令 。 
在 虚拟 机 中 出 现 如 图 13-28 所 示 的 对 话 框 ， 单 
击 “ 安 装 Hyper-V 集成 服务 ”按钮 。 


@ 


| 
古本 可 


CE | 


13-26 ”集成 服务 


图 13-27 ”插入 集成 服务 安装 盘 


图 13-28 ”安装 集成 服务 


人 重启 系统 。 


13.3.5 ”虚拟 机 设置 


“虚拟 机 设置 ”为 我 们 提供 了 一 种 创建 虚拟 机 后 调整 虚拟 机 配置 的 方法 。 

@@ ”如 图 13-29 所 示 ， 打 开 虚 拟 机 管理 工具 ， 选 中 虚拟 机 ， 单 击 “ 设 置 ”按钮 。 

回 如 图 13-30 所 示 ， 可 以 更 改 虚拟 机 的 硬件 以 及 内 存 CPU 资源 分 配 。 

1. 硬件 设置 以 及 说 明 

里。 内存 : 指定 足够 的 内 存 ， 以 运行 来 宾 操作 系统 以 及 将 在 虚拟 机 上 同时 运行 的 所 有 程序 。 

和 ”虚拟 处 理 器 : 如 果 虚 拟 机 运行 Windows Server 2008 或 Windows Server 2003 作为 来 宾 操作 系 
统 ， 则 可 以 分 配 多 个 虚拟 处 理 器 。 


ET TE 
Fr EA I 


CP 
Hl dsl j 
图 13-29 设置 虚拟 机 图 13-30 更 改 虚 拟 机 设置 
”资源 控制 ， 这些 设置 为 用 户 提供 了 一 种 控制 如 何在 一 个 物理 计算 机 上 同时 运行 的 虚拟 机 之 间 分 配 
资源 的 方法 。 


和 ”COM 编号 :附加 到 命名 管道 的 虚拟 COM 端口 ， 经 常 和 内 核 调试 程序 一 起 使 用 。 

© 注意 : 无 法 将 虚拟 COM 端口 与 物理 COM 端口 关联 。 

里 ”软盘 驱动 器 : 软盘 驱动 器 使 虚拟 机 可 以 使 用 虚拟 软盘 。 

(@) 注意 : 无 法 将 软盘 驱动 器 与 物理 软盘 驱动 器 关联 。 

2. 管理 设置 以 及 说 明 

”快照 文件 位 置 : 该 设置 允许 用 户 通过 选择 不 同 的 位 置 蔡 代 默 认 位 置 。 默 认 位 置 就 是 为 运行 


Hyper-V 的 服务 器 指定 的 位 置 。 
里 ”自动 启动 操作 : 这 些 设 置 允 许 用 户 指定 如 果 物 理 计算 机 或 Hyper-V 虚拟 机 管理 服务 重新 启动 , 是 


[493 1 


@ Windows Server 2008 下 于 下 一 。 
否 重新 启动 虚拟 机 。 


© 注意 : 如 果 计划 使 虚拟 机 高 度 可 用 ， 请 不 要 将 虚拟 机 配置 为 自动 重新 启动 。 
@ ”自动 停止 操作 : 这 些 设置 允许 用 户 指 定 当 物理 计算 机 关闭 时 希望 虚拟 机 所 处 的 状态 。 


13.3.6 ”创建 和 还 原 虚 拟 机 快照 


可 不 可 以 及 时 地 返回 到 以 前 的 某 个 时 间 点 ， 然 后 看 看 当时 你 的 虚拟 机 是 怎样 的 ?比如 ， 在 关键 任务 应 
用 中 安装 预测 产品 补丁 之 前 ， 你 的 虚拟 机 是 怎样 的 ? 或 者 ， 由 于 在 SQL update 语句 中 遗漏 了 where 语句 ， 
导致 登录 窗口 的 密码 意外 溢出 之 前 ， 虚 拟 机 又 是 如 何 ? 

幸好 ， 微 软 的 Hyper-V 提供 了 一 个 很 有 用 的 工具 ， 可 以 帮助 用 户 创建 和 应 用 虚拟 机 的 即时 状态 浏览 ; 
快照 功能 。 这 个 工具 很 好 用 ， 可 以 从 Hyper-V 管理 控制 台 创建 虚拟 机 快照 。 

虚拟 机 一 旦 创建 完毕 即 可 创建 快照 。 通 常 ， 快 照 的 创建 过 程 只 有 几 秒 钟 ， 而 且 虚 拟 机 不 需 暂停 、 停 止 
或 关闭 。 快 照 是 由 Hyper-V 创建 、 执 行 的 ， 它 完全 独立 于 运行 在 子 分 区 的 子 操作 系统 的 类 型 和 性 能 。 快 照 
相关 文件 会 自动 储存 到 Hyper-V 服务 器 设置 的 默认 路 径 下 。 

在 Hyper-V 管理 控制 台 可 以 轻松 地 创建 快照 ， 只 需 右 击 虚拟 机 ， 从 弹出 的 快捷 菜单 中 选择 “快照 ” 命 
令 即 可 。 任 何 时 刻 都 可 以 创建 快照 ， 它 会 自动 嵌入 该 虚拟 机 的 即时 状态 浏览 树 结构 中 。 在 快照 属性 中 ， 可 
以 查看 快照 的 详细 信息 。 快 照 中 储存 的 设置 是 只 读 的 ， 除 非 将 它们 应 用 到 现 有 虚拟 机 。 

@ 如 图 13-31 所 示 ， 右 击 选中 的 虚拟 机 ， 从 弹出 的 快捷 菜单 中 选择 “快照 ”命令 ， 过 一 会 儿 ， 发 现 

已 经 创建 了 虚拟 机 的 快照 。 可 以 创建 多 个 快照 。 
@@ 如 图 13-32 所 示 ， 右 击 创 建 的 快照 ， 从 弹出 的 快捷 菜单 中 选择 “应 用 ”命令 ， 还 原 到 快照 。 


EE TE | ea 
ET AE IE] 


EE ET 
PT 


13-31 创建 快照 13-32 选择 “应 用 ”命令 


如 图 13-33 所 示 ， 在 出 现 的 对 话 框 中 ， 单 击 “ 获 取 快 照 然后 应 用 ”按钮 ， 系 统 就 会 将 现在 的 状态 
立即 创建 快照 ， 然 后 还 原 到 选中 的 快照 。 


如 图 13-34 所 示 ， 可 以 看 到 系统 当前 的 位 置 。 使 用 快照 ， 可 以 在 虚拟 机 系统 任何 状态 之 间 切 换 。 
如 图 13-35 所 示 ， 右 击 快照 ， 从 弹出 的 快捷 菜单 中 选择 “删除 快照 子 树 ”命令 。 
如 图 13-36 所 示 ， 可 以 看 到 删除 了 快照 子 树 。 


加 四 日 © 
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和 ee -oo 本 


Pant Wy EE EY ew ja 


如 中 目 


图 13-35 ”删除 快照 子 树 图 13-36 ”删除 快照 后 


13.3.7 ”使 用 差异 磁盘 克隆 系统 


如 何 利用 差异 磁盘 和 SYSPREP 功能 设立 多 个 Windows Server 2008 的 安装 呢 ? 

签 于 成 本 的 原因 ， 学 习 了 解 一 项 新 的 技术 或 是 产品 时 ， 在 没有 部 署 到 生产 环境 中 之 前 ， 大 家 都 会 选择 
用 虚拟 机 来 搭建 一 套 实验 环境 。 但 如 何 快速 搭建 呢 ? 如 何 节省 磁盘 空间 呢 ? 

说 到 此 不 得 不 说 一 下 Hyper-V 的 差异 磁盘 技术 ， 这 种 方法 就 是 先 建立 好 一 个 虚拟 机 系统 [GUEST 0S)， 
并 进行 相关 的 设置 ， 如 桌面 等 ， 然 后 以 此 系统 为 模板 (严格 来 说 是 此 虚拟 机 系统 安装 后 的 硬盘 为 母 盘 ] 建 立 
差异 磁盘 ， 并 将 此 差异 磁盘 指派 给 新 的 虚拟 机 来 使 用 。 当 用 户 使 用 新 的 虚拟 机 后 ， 它 仍 会 以 母 盘 内 的 
Windows 2008 来 启动 系统 ， 但 是 此 后 在 此 系统 内 所 进行 的 任何 变动 都 会 被 保存 在 差异 磁盘 内 ， 而 不 会 改 
变 母 盘 内 的 内 容 。 这 样 创建 新 的 系统 不 但 快捷 ， 而 且 节 省 了 磁盘 空间 。 

差异 磁盘 技术 在 节省 硬盘 空间 的 同时 ， 却 带 来 了 一 个 问题 ， 由 于 依据 母 盘 新 派生 出 来 的 系统 都 有 具有 同 
样 的 SID， 这 将 会 给 实验 环境 带 来 问题 。 可 喜 的 是 ，Windows 2008 安装 后 就 在 系统 中 自 带 了 SYSPREP 工 
具 ( 也 可 以 使 用 NEWSID.EXE 工具 )， 通 过 此 更 改 新 派生 出 来 的 系统 的 SID， 让 这 些 问 题 不 再 成 为 问题 。 


使 用 已 有 系统 克隆 多 个 系统 


@ 选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 “Hyper-V 管理 器 ”命令 。 
@@ 如 图 13-37 所 示 ， 右 击 已 经 关闭 的 虚拟 机 ， 从 弹出 的 快捷 菜单 中 选择 “删除 ”命令 。 这 并 不 删除 
虚拟 机 的 硬盘 文件 。 
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@ Windows Server 2008 7 


@ 如 图 13-38 所 示 ， 选 择 “新 建 ”一 “硬盘 ”命令 。 
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13-37 ”删除 虚拟 机 


13-38 ”创建 硬盘 


@ 如 图 13-39 所 示 ， 在 出 现 的 “开始 之 前 ”界面 中 ， 单 击 “ 下 一 步 ”按钮 。 
@ 如 图 13-40 所 示 ， 在 出 现 的 “选择 磁盘 类 型 ”界面 中 ， 选 中 “差异 ” 单 选 按钮 ， 单 击 “ 下 一 步 ” 


按钮 。 
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图 13-39 


创建 磁盘 向 导 图 13-40 创建 差异 磁盘 


@ 如 图 13-41 所 示 ， 在 “指定 名 称 和 位 置 ” 界 面 中 ， 输 入 名 称 和 位 置 ， 单 击 “ 下 一 步 ”按钮 。 


@ 如 图 13-42 所 示 


， 在 “配置 磁盘 ”界面 中 ， 指 定 父 硬盘 的 虚拟 硬盘 ， 单 击 “ 下 一 步 ”按钮 ， 完 成 


差异 磁盘 的 创建 。 
> 指证 名 疗 和 位 置 
开拍 之 前 挡 二 虹 了 这 全 了 的 名 符 和 这 全 - TH 本 全 失主 册 作 半 信 避 多 的 不 汉 吏 仿 。 
地 榜 和 炎 鲁 ET x aay Erp cebe sme 天 
ey i 
AR [3 
B= =eoi | 9 TS | ， 
图 13-41 ”指定 磁盘 位 置 和 名 称 图 13-42 指定 父 盘 


以 同样 的 方法 创建 Server2.vhd 差异 磁盘 。 


@ 如 图 13-43 所 示 ， 创 建 虚拟 机 Serverl 使 用 现 有 磁盘 Serverl.vhd。 
@ 如 图 13-44 所 示 ， 创 建 虚拟 机 Server2 使 用 现 有 磁盘 Server2.vhd。 


ET Tr 


图 13-43 ”使 用 现 有 磁盘 Server1 图 13-44 ”使 用 现 有 磁盘 Server2 


四 ”如 图 13-45 所 示 ， 两 个 虚拟 机 启动 后 运行 sysprep。 双 击 sysprep， 在 出 现 的 对 话 框 中 ， 选 中 “ 通 
用 ” 复 选 框 ， 单 击 “ 确 定 ” 按 钮 。 


图 13-45 去掉 计算 机 的 SID 


@ 重启 后 ， 重 新 激活 系统 。 
13.4 ”管理 虚拟 网 络 


可 以 在 运行 Hyper-V 的 服务 器 上 创建 许多 虚拟 网 络 以 提供 各 种 通信 通道 。 例 如， 可 以 创建 网 络 以 提供 
以 下 通信 通道 。 
mm “ 仅 虚 拟 机 之 间 的 通信 。 这 种 类 型 的 虚拟 网 络 称 为 专用 网 络 。 
= ”虚拟 化 服务 器 和 虚拟 机 之 间 的 通信 。 这 种 类 型 的 虚拟 网 络 称 为 内 部 网 络 。 
”虚拟 机 和 物理 网 络 之 间 的 通信 ， 方 法 是 创建 与 虚拟 化 服务 器 上 物理 网 络 适配器 的 关联 。 这 种 类 型 
的 虚拟 网 络 称 为 外 部 网 络 。 


可 以 使 用 虚拟 网 络 管理 器 添加 、 删 除 和 修改 虚拟 网 络 。 虚 拟 网 络 管理 器 可 以 从 Hyper-V 管理 器 获得 。 
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注意 : 如 果 将 虚拟 网 络 连接 到 使 用 静态 设置 (如 静态 人 地 址 ) 的 物理 网 络 适配器 ， 并 且 未 禁用 IPv6， 则 
新 连接 将 履 盖 静态 设置 。 在 将 静态 设置 重新 应 用 于 物理 网 络 适 配器 之 前 ， 将 丢失 网 络 连接 。 


如 图 13-46 所 示 ， 打 开 装 有 Hyper-V 角色 的 物理 机 的 网 络 连接 ， 可 以 看 到 安装 完 Hyper-V 后 网 络 连 接 
的 变化 ， 原 来 的 网 卡 出 现 的 本 地 连接 ， 已 经 不 再 绑 定 TCP/IP 协议 ， 只 绑 定 了 Microsoft 虚拟 网 络 交换 机 协 
议 ， 虚 出 来 一 个 本 地 连接 3。 物 理 机 使 用 该 连接 的 IP 地 址 和 网 络 中 的 其 他 计算 机 通信 。 


13-46 ”虚拟 机 网 络 和 物理 机 网 络 


13.4.1 示例 1: 创建 和 使 用 内 部 网 络 


1. 实验 目标 
以 下 将 创建 内 部 网 络 实现 虚拟 机 和 物理 机 通信 ， 如 图 13-47 所 示 。 


172.16.1.2 
255.255.2550 
172.16.1.1 


172.16.0.2 
255.255.255.0 
172.16.01 

VLAN 


172 .16.01 
255.2552550 
Officel 


172.16.1.1 
255.255.255.0 


Office2 


物理 机 


13-47 ”内 部 网 络 示意 图 


里 ”虚拟 机 Serverl 需要 和 物理 机 通信 ， 使 用 172.16.0.2、255.255.255.0 网 段 ， 将 其 放 到 VLAN 2 中 ， 
IP 地 址 分 配 如 图 13-47 所 示 。 
和 ”虚拟 机 Server2 需要 和 物理 机 通信 ， 使 用 172.16.1.2、255.255.255.0 网 段 ， 将 其 放 到 VLAN 3 中 ， 
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第 G3 章 “Windows Server 虚拟 化 
IP 地 址 分 配 如 图 13-47 所 示 。 


和 ”完成 配置 后 Serverl 能 够 与 物理 机 虚拟 出 来 的 网 络 连接 Officel 的 IP 地 址 通信 ，Server2 能 够 与 物 
理 机 虚拟 出 来 的 网 络 连接 Office2 的 IP 地 址 通信 。 


© 注意 : 使 用 不 同 的 VLAN 编号 可 以 从 数据 链 路 层 隔离 网 络 ， 隔 绝 网 络 广播. 


2. 实验 步骤 
Q@ ”打开 物理 机 的 本 地 连接 ， 如 图 13-48 所 示 ， 注 意 观察 网 络 连接 的 数量 和 名 称 。 


Beem ott ne Te Bieuit corre RA 
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图 13-48 ”物理 机 的 网 络 连接 图 13-49 ”管理 虚拟 网 络 


@ 如 图 13-50 所 示 , 在 打开 的 “虚拟 网 络 管理 器 ”窗口 选择“ 新建 虚拟 网 络 ”， 网 络 类 型 选择 “内 


部 ”， 单 击 “ 添 加 ”按钮 。 
@ 如 图 13-51 所 示 ， 输 入 虚拟 网 络 名 称 Officel， 选 中 “启用 父 分 区 的 虚拟 LAN 标识 ” 复 选 框 ， 在 


下 面 的 文本 框 中 输入 2， 单 击 “ 应 用 ”按钮 。 


Er 


| 
| 
| 
| 
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图 13-50 ”添加 网 络 图 13-51 输入 虚拟 网 络 名 称 和 VLAN ID 


@ 如 图 13-52 所 示 ， 再 次 打开 “虚拟 网 络 管理 器 ”对 话 框 ， 选 择 “新 建 虚拟 网 络 ”， 网 络 类 型 选择 
“内 部 ”， 单 击 “ 添 加 ”按钮 。 

如 图 13-53 所 示 ， 输 入 新 建 网 络 的 名 称 Office2， 选 中 “启用 父 分 区 的 虚拟 LAN 标识 ” 复 选 框 ， 
在 下 面 的 文本 框 中 输入 3， 单 击 “ 应 用 ”按钮 。 
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| EE CE | ene 


图 13-52 添加 网 络 图 13-53 输入 虚拟 网 络 名 称 和 VLAN ID 


@ 如 图 13-54 所 示 ， 打 开 物 理 机 的 网 络 连接 ， 可 以 看 到 多 出 来 Officel 和 Office2 两 个 网 络 设备 ， 如 
图 中 所 示 指 定 Officel 和 office2 的 IP 地 址 。 
@ 单 击 打开 Server1， 如 图 13-54 所 示 ， 选 择 “文件 ”一 “设置 ”命令 。 


13-54 ”物理 机 的 网 络 连接 增加 


@ 如 图 13-55 所 示 , 在 出 现 的 “Serverl 的 设置 "对话 框 中 , 选择 “网 络 适 配器 ”， 网 络 选择 Officel， 
选中 “启用 虚拟 LAN 标识 ” 复 选 框 ， 在 下 面 的 文本 框 中 输入 2， 单 击 “ 确 定 ”按钮 。 


Ee | 


图 13-55 “更改 虚拟 机 使 用 的 网 络 
如 图 13-56 所 示 , 设置 Serverl 的 IP 地址 为 172.16.0.2, 子 网 掩 码 255.255.255.0, 网 关 172.16.0.1。 
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@ 如 图 13-57 所 示 ， 测 试 到 物理 机 Officel 的 连接 ，ping 172.16.0.1 发 现 是 通 的 。 
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图 13-56 设置 虚拟 的 IP 地 址 图 13-57 虚拟 机 和 物理 机 能 够 通信 


四 如 图 13-58 所 示 ， 将 Server2 的 网 络 适配器 指定 到 0ffice2 网 络 ， 选 中 “启用 虚拟 LAN 标识 ” 复 
选 框 ， 在 下 面 的 文本 框 中 输入 3， 单 击 “ 确 定 ” 按 钮 。 
四 如 图 13-59 所 示 , 设 置 Server2 的 IP 地 址 为 172.16.1.2, 子 网 掩 码 255.255.255.0, 网 关 172.16.1.1。 
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图 13-58 将 Server2 指定 到 网 络 13-59 配置 Server2 的 IP 地 址 


外 ”如 图 13-60 所 示 ， 在 Server2 上 测试 到 物理 机 0ffice2 的 连接 ，ping 172.16.1.1 发 现 是 通 的 。 


Ensas | 


图 13-60 ”测试 Server2 到 物理 机 通信 
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13.4.2 示例 2: 创建 和 使 用 专用 网 络 


1. 实验 目标 

通过 创建 专用 网 络 实现 虚拟 机 Serverl 和 Server2 之 间 的 通信 。Serverl 和 Server2 不 需要 和 物理 机 通 
信 ， 也 不 需要 和 网 络 中 的 其 他 计算 机 通信 。 

将 这 两 个 虚拟 机 放 到 VLAN 4 中 ， 如 图 13-61 所 示 。 


Internet 


庶 拟 机 
172.16.03 
255.255.255.0 


10.7.10.224 
物理 机 255.255.255.0 
10.7.10.1 


图 13-61 专用 网 络 示意 图 
2. 实验 步骤 
中 如 图 13-62 所 示 ， 打 开 Hyper-V 管理 工具 ， 单 击 “ 虚 拟 网 络 管理 器 ”按钮 。 


@ ”如 图 13-63 所 示 ， 在 打开 的 “虚拟 网 络 管理 器 ”对 话 框 中 ， 选 择 “ 新 建 虚拟 网 络 ”， 网 络 类 型 选 
择 “专用 ”， 单 击 “ 添 加 ”按钮 。 
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图 13-62 创建 虚拟 网 络 图 13-63 ”选择 专用 网 络 
图 13-64 所 示 ， 输 入 虚拟 网 络 名称 PrivateNet， 选 中 “专用 虚拟 机 网 络 ” 单 选 按钮 ， 单 击 “ 应 


如 

用 ”按钮 。 
如 图 13-65 所 示 ， 更 改 Serverl 的 设置 ， 将 网 络 适配器 指定 到 PrivateNet 网 络 ， 选 中 “启用 虚拟 
LAN 标识 ” 复 选 框 ， 输 入 VLAN 编号 4， 单 击 “ 确 定 ” 按 钮 。 


® 
@ 
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13-64 ”创建 专用 网 络 图 13-65 更 改 Server1 网 络 


如 图 13-66 所 示 ， 更 改 Server2 的 设置 ， 将 网 络 适配器 指定 到 PrivateNet 网 络 ， 选 中 “启用 虚拟 

VLAN 标识 ”， 输 入 VLAN 编号 4， 单 击 “ 确 定 ” 按 钮 。 

@ 如 图 13-67 所 示 , 在 Server2 上 打开 网 络 和 共享 中 心 ， 启 用 “文件 共享 ”。 这 样 允 许 Serverl ping 
通 


@ 


Server2 。 


4 
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图 13-66 更 改 Server2 网 络 图 13-67 测试 网 络 
”如 图 13-68 所 示 ， 在 Serverl 上 Ping 172.16.0.3， 发 现 网 络 畅通 。 


图 13-68 使 用 专用 网 络 通信 
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13.4.3 ”示例 3: 创建 和 使 用 外 部 网 络 


1. 实验 目标 
将 虚拟 机 的 网 络 和 网 络 中 交换 机 连接 。 
允许 交换 机 连接 到 Internet， 如 图 13-69 所 示 。 


Internet 


10.7.10.1 
255.255.255.0 


EE 
10.7.10.48 


255.255.255.0 
10.7.10.1 


10.7.10.60 
255.255.255.0 
10.7.10.1 


10.7.10.225 
255.255.255.0 
物理 机 。 10.7.10.1 


虚拟 机 


13-69 ”外 部 网 络 示 意图 
2. 实验 步骤 


中 如 图 13-70 所 示 ， 更 改 Serverl 的 设置 ， 将 网 络 适 配 指定 到 “Broadcom NetXtreme 57xx Gigabit 
Controller- 虚 拟 网 络 ”。 


EE 


图 13-70 ”将 网 络 指定 到 物理 网 络 


@ 更 改 Server2 的 设置 ， 将 网 络 适 配 指定 到 “Broadcom NetXtreme 57xx Gigabit Controller- 虚 拟 
网 络 ”。 
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13.4.4 示例 4: 将 虚拟 机 指定 到 不 同 VLAN 


1. 实验 目标 


如 图 13-71 所 示 ， 如 果 在 物理 机 上 装 有 两 个 虚拟 机 ， 网 络 中 有 两 个 VLAN, 计划 将 虚拟 机 Serverl 放 到 
VLAN10，Server2 放 到 VLAN 11， 路 由 器 负责 VLAN 间 路 由 和 Internet 连接 。 


单 形 路 由 器 负责 VLAN 间 -一 As 
路 由 和 Internet 连 接 Internet 


图 13-71 将 虚拟 机 指定 到 不 同 的 VLAN 


实验 步骤 


2 

@ 将 连接 物理 机 的 交换 机 端口 设置 成 干道 链 路 ， 连 接 路 由 器 的 交换 机 端口 配置 成 干道 链 路 。 

@ 在 路 由 器 上 连接 交换 机 干道 链 路 的 接口 ， 配 置 子 接口 ， 作 为 VLAN 10 和 VLAN 11 的 网 关 。 

@@ 如 图 13-72 所 示 ， 更 改 Serverl 的 设置 ， 将 网 络 适 配 指定 到 “Broadcom NetXtreme 57xx Gigabit 
Controller- 虚 拟 网 络 ”， 选 中 “启用 虚拟 VLAN 标识 ” 复 选 框 ， 输 入 VLAN ID 为 10， 单 击 “ 确 定 ” 
按钮 。 

图 将 Serverl 的 IP 地址 、 子 网 掩 码 和 网 关 设 置 成 VLAN 10 网 段 的 。 


图 13-72 ”指定 不 同 的 VLAN ID 
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回 更改 Server2 的 设置 ， 将 网 络 适 配 指 定 到 “Broadcom NetXtreme 57xx Gigabit Controller- 虚 拟 网 
络 ”， 选 中 “启用 虚拟 VLAN 标识 ” 复 选 框 ， 输 入 VLAN ID 为 11， 单 击 “ 确 定 ”按钮 。 
@ 将 Server2 的 IP 地 址 、 子 网 掩 码 和 网 关 设 置 成 VLAN 11 网 段 的 。 


13.5 方案 1: 整合 基础 架构 、 应 用 以 及 分 支 机 构 服 务 器 的 工作 负荷 


采用 虚拟 技术 的 最 大 推动 力 是 可 以 进行 服务 器 整合 。 企 业 在 保持 并 加 强 可 靠 性 、 可 扩展 性 和 安全 性 等 
竞争 优势 的 同时 ， 还 面临 着 简化 管理 和 降低 成 本 方面 的 压力 。 

WSv 可 完美 适用 于 数据 中 心 和 分 支 机 构 的 服务 器 整合 ， 使 企业 能 够 更 有 效 地 利用 硬件 资源 。 它 也 能 使 
IT 企业 提高 管理 生产 率 ， 而 且 能 迅速 部 署 新 的 服务 器 来 满足 日 益 变化 的 业务 需求 ， 如 表 13-2 所 示 。 


表 13-2 主要 整合 功能 


说 明 


支持 各 种 来 宾 操 
作 系 统 


硬件 虚拟 化 与 旧 
式 硬件 仿真 


WSsv 管理 程序 模式 所 支持 的 来 宾 操 作 系统 包括 Windows Server 2008( 包 括 服 务 器 核心 )、Linux 
以 及 Xen-enabled Linux。 这 些 操作 系统 能 利用 虚拟 化 感知 硬件 和 相关 的 性 能 增强 功能 。 

Wsv 中 的 VM 除了 能 支持 以 上 WSv 管理 程序 模式 中 的 操作 系统 外 ， 还 能 在 超过 1000 种 操作 
系统 中 运行 ， 其 中 包括 各 个 版 本 的 DOS、Windows 以 及 Windows Server( 最 少 需要 8 个 处 理 器 
的 数据 中 心 除 外 )。 如 欲 获取 与 之 兼容 的 操作 系统 列表 ， 请 登录 :http:/vpcvisualwin comy/ 


使 用 支持 来 宾 操 作 系统 (如 :Windows Server 2008、Linux 和 Xen-enabled Linux) 的 VM 能 与 不 存 
在 现实 对 等 端 (如 “Windows 显示 适配器 ”) 的 假想 设备 交互 作用 。 旧 式 操作 系统 能 与 作为 特定 设 
备 (如 S3 Trio64 SVGA 适配器 ) 的 仿真 硬件 交互 工作 。 

硬件 仿真 模式 中 的 所 有 VM 均 使 用 相同 的 虚拟 设备 : 

一 个 单 核 虚 拟 处 理 器 (其 ID 基于 实际 处 理 器 之 上 ) 

高 达 3.6 GB 的 系统 内 存 

440 BX 芯片 集 

Adaptec 2940 PCI SCSI 控制 器 (多 达 4 条 总 线 ) 

S3 Trio64 SVGA( 带 2D 硬件 加 速 功能 ) 

Intel 21140 以 太 网 适配器 (多 达 4 个 虚拟 NIC) 

无 须 与 设备 相关 联 的 本 地 虚拟 网 络 连接 

VM 也 能 配置 为 无 虚拟 网 络 连接 

IDE/ATAPI 控制 器 

传统 设备 一 一 键盘 、 鼠 标 、COM 和 LPT 端口 、CMOS、PIC、DMA 等 


P2V 一 物理 到 虚 
拟 的 转化 


使 物理 服务 器 转换 为 VM 


动态 硬件 添加 


被 识别 为 需要 更 多 资源 的 VM 能 在 不 停机 的 情况 下 被 赋予 更 多 的 核心 、 内 存 、 存 储 与 网 络 
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续 表 
功 能 说 明 


CPU 资源 分 配 支持 精细 粒度 控制 的 加 权 与 约束 方法 。 
高 度 可 扩展 的 多 线程 。 

每 个 VM 能 使 用 高 达 100% 的 单个 主机 处 理 器 核心 。 
多 个 VM 能 同时 执行 并 使 用 多 个 主机 处 理 器 核心 。 
可 将 多 个 VM 托管 在 任意 服务 器 ， 这 取决 于 : 

VM 在 主机 上 的 组 合 处 理 器 、 内 存 和 IO 负荷。 
主机 系统 上 可 用 的 处 理 器 、 内 存 和 IO 容量 。 


CPU 资源 分 配 
为 平衡 负荷 管理 ，WSv 支持 基于 加 权 和 基于 约束 的 CPU 资源 分 配 。 
VM 上 分 配 的 相对 资源 加 权 会 与 所 有 其 他 VM 的 资源 相 比 较 。 相 对 加 权 较 高 的 VM 会 从 其 他 加 
权 相 对 较 低 的 VM 上 动态 分 配 更 多 的 资源 。 在 默认 设置 中 ， 所 有 VM 的 相对 加 权 都 是 100， 这 
样 它们 的 资源 需求 是 相等 的 ， 没 有 一 个 被 赋予 首选 项 。 
容量 与 加 权 算法 能 同时 运行 。 
系统 容量 最 大 时 也 能 产生 连接 。 
相对 加 权能 在 连接 期 间 确 定 资源 分 配 
WSv 能 在 每 个 VM (per-virtual machine) 上 实现 灵活 的 内 存 配置 ， 其 中 包括 在 运行 的 VM 上 热 添 
加 内 存 。 
页 面 共 享 能 使 基于 相同 操作 系统 的 VM 在 内 存 中 共享 相同 的 代码 页 面 。 这 并 不 是 说 每 个 VM 都 和 
内 存 资源 分 配 设备 一 样 加 载 各自 的 静态 元 素 并 分 配 相关 量 的 内 存 ， 而 是 说 VM 能 访问 相同 的 元 素 副本 。 如 果 


VM 试图 改变 共享 页 面 ， 它 就 能 立即 被 路 由 至 唯一 的 页 面 副 本 。 
包含 对 NUMA 感知 调度 和 内 存 分 配 的 支持 ， 可 减少 多 个 处 理 器 插 槽 系统 上 的 总 线 冲突 。 
在 非 NUMA 系统 上 ，WsSv 依赖 于 主机 操作 系统 的 计划 程序 


Wsv 中 的 虚拟 网 卡 支持 预 引导 执行 环境 (PXE) 的 启动 。 该 网 络 启动 允许 客户 以 物理 服务 器 上 的 方 
PXE 引导 式 支持 虚拟 主机 。 
注 : 为 充分 利用 该 特性 ，PXE 基础 架构 需要 位 于 主机 网 络 上 


通过 在 网 络 上 提供 集中 化 的 用 户 与 计算 机 层级 信息 知识 库 ，Active Directory 允许 使 用 和 物理 机 器 
一 样 的 目录 管理 功能 。Active Directory 融合 了 Windows Server 2008 中 管理 和 性 能 的 重大 改进 ， 
能 从 由 WSv 托管 的 VM 中 得 到 支持 。 

与 Active Directory 集成 能 实现 委托 管理 和 身份 验证 的 来 宾 访 问 。 每 虚拟 机 ACL (per-virtual 
machine ACL) 能 在 Active Directory 的 群 组 策略 控制 台 上 控制 。 通过 它 ,， WSv 能 启用 精细 粒度 管 
理 控制 ， 可 将 事件 日 志 与 Active Directory 和 Microsoft 管理 控制 台 相 集成 


活动 目录 集成 


13.6 方案 2: 软件 测试 与 开发 环境 的 自动 化 和 整合 


Wsv 使 企业 能 够 整合 他 们 的 测试 和 开发 服务 器 ， 并 自动 配置 VM。 
各 个 领域 的 客户 都 在 寻求 能 降低 成 本 、 加 速 应 用 与 基础 架构 安装 和 升级 ， 并 能 全 面 保证 质量 的 方法 。 
为 了 能 在 生产 前 达到 测试 目标 ， 必 须 克服 多 重 困 难 。 
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于 网络 操作 。 测 试 网 络 的 错误 配置 会 危害 生产 网 络 。 


”开发 人 员 


安装 操作 


的 工作 效率 。 开 发 人 员 的 工作 效率 会 被 浪费 在 耗 时 的 管理 任务 中 ， 例 如 配置 测试 环境 和 
系统 。 


”服务 器 的 操作 与 资本 性 费用 。 高 质量 的 应 用 测试 需要 复制 生产 计算 环境 ， 从 而 会 增加 预算 和 日 程 
风险 的 昂贵 的 硬件 和 人 力 资源 。 
在 30 年 前 的 大 型 机 时 代 ， 为 在 同一 系统 上 使 用 并 行 的 测试 和 生产 分 区 ，VM 技术 应 运 而 生 。WsSv 能 
实现 更 广 的 测试 覆盖 面 、 更 高 的 开发 人 员 生产 率 以 及 更 佳 的 用 户 体验 。 
此 外 ,开发 人 员 还 能 将 WSv 作为 高 效 的 工具 来 模拟 单个 物理 服务 器 上 的 分 布 式 应 用 。 通 常 ， 在 实验 室 
环境 中 ， 分 布 式 服务 器 应 用 的 部 署 和 测试 需要 大 量 的 可 用 硬件 资源 与 大 量 时 间 来 配置 硬件 和 软件 系统 ， 以 


便 模拟 所 需 方案 。 


WSv 是 一 种 既 节约 时 间 又 节约 资源 的 强大 解决 方案 ， 其 能 够 在 分 布 式 服 务 器 应 用 开发 方案 中 优化 硬件 


和 人 力 资源 的 利用 


。WsSv 在 一 个 物理 服务 器 上 使 用 多 个 VM， 能 使 开发 人 员 轻 松 部 署 和 测试 分 布 式 服务 器 


应 用 。WSv 将 磁盘 层级 和 虚拟 网 络 等 强大 功能 与 机 器 整合 价值 结合 在 一 起 ， 能 使 开发 人 员 高 效 模拟 复杂 的 
网 络 环境 。 这 是 一 个 非常 节约 时 间 和 成 本 的 开发 环境 ， 其 扩建 需要 的 硬件 、 空 间 和 时 间 都 较 少 ， 如 表 13-5 


所 示 。 


各 种 来 宾 操 作 系统 
支持 


配置 库 


自助 门户 


快照 


表 13-5 主要 的 软件 测试 与 开发 功能 
说 明 
WSv 管理 程序 模式 所 支持 的 来 宾 操 作 系统 包括 Windows Server 2008( 包 括 服务 器 核心 )、Linux 以 
及 Xen-enabled Linux。 这 些 操作 系统 能 利用 虚拟 化 感知 硬件 和 相关 的 性 能 增强 功能 。 
WSv 中 的 VM 除了 能 支持 以 上 WSv 管理 程序 模式 中 的 操作 系统 外 ， 还 能 在 超过 1000 种 操作 系 


统 中 运行 ， 其 中 包括 各 个 版 本 的 DOS、Windows 以 及 Windows Server( 最 少 需要 8 个 处 理 器 的 数 
据 中 心 除外 ) 


使 用 系统 中 心 VM 管理 器 的 WSv 能 够 在 库 中 存储 并 管理 VM， 需 要 时 可 对 其 进行 调用 。 
VM 库 采 用 了 离线 VHD 控制 机 制 ， 从 而 无 须 运行 相关 VM 也 能 更 改 VM 
系统 中 心 VM 管理 器 使 开发 与 测试 人 员 能 在 配置 库 中 创建 与 毁坏 VM， 而 无 须 管理 员 的 干涉 


快照 使 开发 与 测试 人 员 能 将 VM 系统 配置 回 “ 上 一 个 已 知 良好 ”状态 。 
某 些 开发 与 测试 包含 众多 程序 与 操作 系统 安装 、 印 载 和 重新 安装 的 等 待 时 间 。 凭 借 WSv 的 快照 特 
性 ,可 将 VM 重 置 为 此 前 的 配置 ， 将 印 载 程序 或 重新 安装 操作 系统 的 可 能 性 减 至 最 小 


13.7 方案 3: 业务 连续 性 与 灾难 恢复 


WSsv 可 以 是 灾难 恢复 计划 的 一 部 分 ， 这 就 需要 跨 硬 件 平台 的 应 用 可 移植 性 及 灵活 性 。 将 物理 服务 器 整 
合 至 运行 VM 的 较 少 物理 机 器 上 ， 能 减少 灾难 中 损坏 或 出 故障 的 物理 设备 。 在 恢复 过 程 中 ， 可 将 VM 托管 
在 未 受 影响 主机 上 的 任意 位 置 ， 从 而 不 仅 加 速 了 恢复 时 间 ， 而 且 还 最 大 限度 地 提高 了 企业 的 灵活 性 ， 如 


表 13-6 所 示 。 
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表 13-6 主要 的 业务 持续 性 和 灾难 恢复 功能 


特 性 说 明 


主机 和 来 宾 群 集 


WSv 能 对 来 宾 操 作 系 统 和 主机 进行 群集 ， 从 而 启用 各 种 高 度 可 用 的 方案 。 主 机 的 群集 能 显著 增 大 服务 
器 的 可 用 性 ,而且 成 本 很 低 ， 同 时 能 启用 群集 中 WSv 主机 的 VM 故障 转移 功能 。 使 用 WSv 的 企业 
能 创建 一 个 高 可 用 性 的 VM 环境 ， 有 效 的 管理 计划 和 意外 的 停机 方案 ， 无 须 购买 其 他 的 软件 工具 。 

例如 ， 如 果 系统 需要 更 新 ，IT 管理 员 能 有 效 地 预测 服务 器 重启 。 适 当地 配置 WSv 主机 群集 能 使 正在 


I 运行 的 VM 在 不 停机 的 情况 下 迁移 到 群集 中 另 一 个 主机 上 。 
在 意外 的 停机 方案 (如 硬件 故障 ) 中 ， 主 机 上 运行 的 VM 能 自动 迁移 到 下 一 个 可 用 的 WSv 主机 上 。 
来 宾 群 集 允许 群集 感知 应 用 程序 在 WSv 主机 上 的 VM 中 群集 
WSsv 在 无 须 停机 的 情况 下 备份 运行 的 VM 及 其 数据 。 如 果 服 务 器 停机 ， 其 VM 能 在 其 他 服务 器 上 进 
| 行 恢复 并 重启 动 ， 从 而 使 服务 中 断 最 小 化 。 
Live Backup 


Health Monitoring 


磁带 备份 的 流程 充分 利用 了 WSv 上 的 虚拟 磁带 驱动 功能 。 例 如 ， 如 果 服务 器 采用 了 可 将 数据 自动 备 
份 到 磁带 驱动 器 中 的 脚本 ， 那 么 当 该 服务 器 转移 到 VM 上 时 该 流程 也 能 使 用 


WSrv 全 面 与 System Center Operations Manager 等 监视 工具 集成 ， 以 便 在 出 现 大 故障 前 能 发 现 并 对 问 
题 做 出 响应 


13.8 方案 4: 启用 动态 数据 中 心 


数据 中 心 在 提高 性 能 与 充分 利用 商务 智能 的 同时 ， 还 面临 着 优化 硬件 与 设施 使 用 的 压力 。WSv 能 使 数 
据 中 心 对 不 断 变化 的 需求 与 能 量 供应 做 出 响应 ， 并 赋予 其 面向 未 来 设计 的 灵活 性 。 
核心 功能 (如 对 64 位 多 处 理 器 的 支持 , 灵活 的 资源 控制 ] 使 数据 中 心 依靠 VM 就 能 完成 资源 密集 型 的 工 


作 负 荷 。 


WSv 有 助 于 实现 动态 数据 中 心 的 自我 管理 与 操作 灵活 性 。 在 业务 流程 中 使 用 系统 中 心 VM 管理 器 , 通 
过 基础 架构 中 的 不 同 物理 机 能 使 数据 中 心 充分 利用 新 型 应 用 程序 与 虚拟 工作 负荷 的 动态 负载 平衡 ， 促 进 自 
我 管理 动态 系统 的 进展 。 


MSC 集成 


WSv 集成 了 Microsoft 系统 中 心 (MSC)。 后 者 是 新 一 代 的 动态 管理 工具 ， 用 于 支持 动态 系统 管理 计划 
(DSD。MSC 为 IT 行业 的 专业 人 士 提 供 了 工具 与 信息 ， 有 助 于 管理 IT 基础 架构 ， 在 管理 工具 中 嵌入 操作 知 
识 ， 使 系统 能 自我 管理 与 修复 。 

Microsoft 的 DSI 策略 的 核心 是 开发 并 交付 技术 ， 使 企业 与 个 人 生产 效率 更 高 ， 更 能 适应 动态 的 企业 需 
求 。 动 态 系统 技术 策略 有 三 个 结构 元 素 。 

于 “通过 使 用 系统 模型 ， 将 操作 设计 嵌入 IT 基础 架构 之 中 ， 使 之 能 捕捉 不 同 知识 背景 人 士 的 信息 (如 

企业 架构 规划 师 、 应 用 程序 研发 人 员 、IT 专业 人 士 与 工业 伙伴 等 )。 

”知识 驱动 型 管理 能 使 系统 捕捉 模型 中 预期 的 配置 与 健康 状态 ， 以 内 部 知识 为 系统 提供 一 定 级 别 的 

自我 管理 。 
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”虚拟 化 的 基础 架构 能 将 系统 资源 整合 到 一 个 虚拟 服务 池 中 ， 实 现 更 大 的 灵活 性 并 充分 利用 现 有 基 
础 架构 。 虚 拟 化 的 基础 架构 使 系统 更 易于 按 企 业 优先 级 与 需求 ， 来 迅速 添加 、 削 减 、 移 动 或 改变 
工作 分 配 的 资源 。 
这 三 个 元 素 是 构建 动态 系统 的 基础 。 虚 拟 化 的 基础 架构 能 使 其 中 的 资源 自由 流动 ， 知 识 驱 动 型 管理 机 
制 则 使 这 些 资源 满足 动态 企业 需求 ， 而 操作 设计 则 保证 系统 运行 良好 ， 如 表 13-7 所 示 。 


表 13-7 主要 的 动态 数据 中 心 功能 


特 性 说 明 
WSv 管理 程序 模式 支持 的 来 宾 操作 系统 包括 Windows Server 2008( 包 括 服务 器 核心 )、Linux 和 
广泛 的 来 宾 操 作 系 Xen-enabled Linux。 这 些 操作 系统 能 充分 利用 虚拟 化 感知 的 硬件 和 相关 的 性 能 增强 技术 的 优点 。 
统 支持 WSv 中 的 VM 除了 能 支持 以 上 WSv 管理 程序 模式 中 的 操作 系统 , 还 能 在 超过 1000 个 操作 系统 中 运 
行 , 包括 各 个 版 本 的 DOS、Windows 和 Windows Server( 除 了 最 少 需要 8 个 处 理 器 的 Datacenter)。 如 
欲 了 解 兼 容 的 操作 系统 列表 ， 请 访问 http://vpc.visualwin.comy/ 
组 策略 集成 组 策略 是 一 个 强大 的 管理 工具 ， 它 能 一 次 在 多 个 计算 机 和 VM 上 配置 特定 的 功能 。WSv 融合 了 组 策 
略 ， 支 持 VM 和 虚拟 服务 器 ;并 且 使 用 了 相同 的 工具 和 模板 ， 以 便 在 物理 机 上 设 定 和 执行 这 些 策略 
计数 器 的 应 用 WSv 使 用 计数 器 能 使 数据 中 心得 到 虚拟 服务 器 的 使 用 信息 ， 加 快 容量 规划 决策 


13.9 超越 服务 器 的 虚拟 化 


WSv 是 一 整套 虚拟 化 解决 方案 的 一 部 分 ， 后 者 包括 从 桌面 到 数据 中 心 的 每 个 步骤 。 

Microsoft Virtual PC 2007 的 桌面 虚拟 化 能 使 用 户 运 行 来 宾 操 作 系统 。 在 需求 不 同 的 操作 系统 的 研发 中 ， 
它 通 常用 于 测试 垂直 应 用 程序 。 除 此 之 外 ， 教 师 还 可 以 将 Virtual PC 文件 发 送 给 课堂 上 所 有 的 学 生 ， 以 保 
证 他 们 都 在 相同 的 设置 下 工作 。 

Microsoft SoftGrid 应 用 程序 虚拟 化 技术 隔离 了 同一 操作 系统 上 运行 的 各 个 应 用 程序 ， 有 助 于 消除 潜在 
的 冲突 ， 使 反应 更 迅速 。 应 用 程序 会 经 常 更 新 注册 表 (如 更 新 虚拟 注册 表 ]， 这 样 系统 就 能 在 不 影响 其 他 应 
晶 程 序 的 情况 下 满足 该 应 用 程序 的 要 求 。 应 用 程序 的 安装 和 外 载 也 快 于 一 般 的 安装 和 钊 载 流程 ， 用 户 自 定 
义 选 项 也 无 须 手动 配置 。 

通过 Microsoft Terminal Services 实现 的 显示 虚拟 化 使 远程 用 户 可 以 访问 寄宿 于 远程 端的 应 用 和 操作 
系统 。 通 常 的 应 用 情景 是 在 家 中 或 旅行 时 访问 办 公 室 的 桌面 电脑 或 基于 服务 器 的 应 用 程序 。 这 需要 给 予 远 
程 用户 权 限 ， 使 之 可 以 控制 本 地 文件 ， 登 录 应 用 程序 ， 并 连接 至 所 需 访问 的 桌面 电脑 硬件 ， 使 用 其 他 远程 
方式 不 能 访问 的 资源 。 显 示 虚 拟 化 使 依赖 资源 的 应 用 程序 可 通过 低 功 耗 的 笔记 本 或 其 他 兼容 的 电脑 进行 访 
问 和 使 用 ， 甚 至 还 可 以 允许 用 户 运 行 不 同 的 操作 系统 。 


13.10 总 结 


WSsv 是 一 项 面向 Windows Server 2008 平台 的 低 成 本 、 全 面 支持 的 服务 器 虚拟 技术 。Microsoft 在 基 
于 管理 程序 和 硬件 辅助 虚拟 化 方面 的 进步 ， 极 大 地 改进 了 VM 的 可 靠 性 和 可 升级 性 。 它 使 最 耗资 源 的 工作 
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负荷 也 能 在 动态 VM 上 运行 。WSv 的 工业 标准 管理 工具 能 使 系统 管理 员 在 熟悉 并 得 到 广泛 支持 的 界面 上 ， 
管理 虚拟 服务 器 和 物理 服务 器 。 

WSv 允许 企业 整合 结构 、 应 用 程序 和 分 支 办 公 室 服务 器 工作 负荷 。WSv 能 理想 地 用 于 数据 中 心 和 分 
支 办 公 室 服务 器 的 整合 ， 使 企业 能 更 有 效 地 利用 硬件 资源 。 它 也 能 使 IT 提高 管理 生产 力 ， 迅 速 部 署 新 的 服 
务 器 来 满足 不 断 变化 的 商务 需求 。WSv 能 使 商务 活动 对 其 测试 和 研发 的 服务 器 群 进行 整合 ,自动 提供 VM。 
WSv 也 是 恢复 计划 的 一 部 分 ， 而 后 者 需要 硬件 平台 上 应 用 程序 的 可 迁移 性 和 灵活 性 。 同 时 ，WSv 使 数据 
中 心 面 对 变 化 的 需求 ， 能 迅速 地 做 出 反应 ， 并 让 其 拥有 超前 设计 的 性 能 和 灵活 性 。 
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随 着 互联 网 的 迅速 发 展 ， 应 用 服务 器 工作 量 的 日 
痊 增加 ， 负 和 载 平衡 技术 的 应 用 越 加 广泛 。 而 在 众多 的 
负载 平衡 技术 中 ， 网 络 负载 平衡 技术 由 于 其 优势 ， 已 
成 为 目前 使 用 最 为 广泛 的 技术 。 


QoS 的 英文 全 称 为 Quality of Service， 中 文 名 为 
“服务 质量 ”。QoS 是 网 络 的 一 种 安全 机 制 ， 是 用 来 
解决 网 络 延迟 和 阻塞 等 问题 的 一 种 技术 。 


全 关键 词 
”网 络 负载 平衡 的 使 用 场景 
m 配置 Windows Server 2008 网 络 
负载 平衡 
nm QoS 
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14.1 Windows Server 2008 实现 网 络 负载 平衡 


Windows Server 2008 中 的 网 络 负载 平衡 (NLB) 功能 可 以 增强 Internet 服务 器 应 用 程序 (如 在 
Web、FTP、 防 火 墙 、 代 理 、 虚 拟 专用 网 络 (VPN) 以 及 其 他 执行 关键 任务 的 服务 器 上 使 用 的 应 用 程序 ) 的 
可 用 性 和 可 伸缩 性 。 运 行 Windows Server 2008 的 单个 计算 机 只 能 提供 有 限 的 服务 器 可 靠 性 和 可 伸缩 性 
能 。 但 是 , 通过 将 运行 Windows Server 2008 的 其 中 一 个 产品 的 两 台 或 多 台 计 算 机 的 资源 组 合 到 单个 虚拟 
群集 中 ，NLB 便 可 以 提供 Web 服务 器 和 其 他 执行 关键 任务 服务 器 所 需 的 可 靠 性 和 性 能 


sds NLB 主 机 +11S ”NLB 主 机 +11S 


到 数据 
存储 设备 


NLB 主 机 + NLB 主 机 +IS ”NLB 主 机 +11S 
1SA2000 服 务 器 ” 


图 14-1 网 络 负载 平衡 示意 图 


图 14-1 描述 了 两 个 连接 的 网 络 负载 平衡 群集 。 第 一 个 群集 由 两 个 主机 组 成 ， 第 二 个 群集 由 四 个 主机 组 
成 。 这 是 如 何 使 用 NLB 的 一 个 示例 。 

每 个 主机 都 运行 所 需 的 服务 器 应 用 程序 (如 用 于 Web、FTP 和 Telnet 服务 器 的 应 用 程序 ) 的 单个 副本 。 
NLB 在 群集 的 多 个 主机 中 分 发 传 入 的 客户 端 请 求 。 可 以 根据 需要 配置 每 个 主机 处 理 的 负载 权重 , 还 可 以 向 
群集 中 动态 地 添加 主机 ， 以 处 理 增加 的 负载 。 此 外 ，NLB 还 可 以 将 所 有 流量 引导 至 指定 的 单个 主机 ,该 主 
机 称 为 默认 主机 。 

NLB 允许 使 用 相同 的 群集 IP 地 址 集 指定 群集 中 所 有 计算 机 的 地 址 ， 并 且 它 还 为 每 个 主机 保留 一 组 唯 
一 专用 的 IP 地 址 。 对 于 负载 平衡 的 应 用 程序 ， 当 主机 出 现 故障 或 者 脱 机 时 ， 会 自动 在 仍然 运行 的 计算 机 
之 间 重 新 分 发 负载 。 当 计算 机 意外 出 现 故障 或 者 脱 机 时 ， 将 断 开 与 出 现 故障 或 脱 机 的 服务 器 之 间 的 活动 连 
接 。 但 是 ， 如 果 用 户 有 意 关 闭 主机 ， 则 可 以 在 使 计算 机 脱 机 之 前 ， 使 用 drainstop 命令 维护 所 有 活动 的 连 
接 。 任 何 一 种 情况 下 ， 都 可 以 在 准备 好 时 将 脱 机 计算 机 明确 地 重新 加 入 群集 ， 并 重新 共享 群集 负载 ， 以 便 
使 群集 中 的 其 他 计算 机 处 理 更 少 的 流量 。 

NLB 群集 中 的 主机 会 交换 检测 消息 以 保持 有 关 和 群集 成 员 身份 的 数据 的 一 致 性 。 默认 情况 下 ， 当 主机 在 
5s 之 内 未 能 发 送 检测 消息 时 ， 该 主机 便 出 现 了 故障 。 当 主机 出 现 故障 时 ， 群 集中 的 剩余 主机 将 聚合 在 一 起 
并 执行 以 下 操作 。 

a 确定 哪些 主机 仍然 是 群集 中 的 活动 成 员 。 

于 “选择 优先 级 最 高 的 主机 作为 新 的 默认 主机 。 

”确保 所 有 新 的 客户 端 请 求 都 由 仍然 活动 的 主机 进行 处 理 。 

在 聚合 期 间 ， 仍 然 活 动 的 主机 会 查找 一 致 的 检测 信号 。 如 果 无 法 发 送 检测 信号 的 主机 开始 提供 一 致 的 
检测 信号 ， 则 它 会 在 聚合 过 程 中 重新 加 入 群集 。 当 新 的 主机 尝试 加 入 群集 时 ， 它 会 发 送 检测 消息 ， 该 消息 
也 会 触发 聚合 。 当 所 有 群集 主机 对 当前 的 群集 成 员 身 份 达成 一 致 之 后 , 会 向 剩余 主机 重新 分 发 客户 端 负载 ， 
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并 完成 聚合 。 

通常 聚合 只 需 几 秒 钟 ， 因 此 由 群集 中 断 的 客户 端 服务 是 非常 少 的 。 在 聚合 期 间 ， 仍 然 活 动 的 主机 会 继 
续 处 理 客户 端 请 求 ， 而 不 会 影响 现 有 连接 。 如 果 所 有 主机 在 几 个 检测 期 间 报告 的 群集 成 员 身 份 和 分 发 映射 
都 一 致 ， 则 聚合 结束 。 


14.1.1 NLB 中 的 新 增 功能 


对 于 Windows Server 2008，NLB 包括 以 下 改进 。 

和 ”支持 IPv6。NLB 对 所 有 通信 都 完全 支持 IPv6。 所 有 NLB 组 件 都 支持 IPv6 地 址 , 并 且 可 以 将 
这 些 地 址 配置 为 主要 群集 IP 地 址 、 专用 人 P 地 址 和 虚拟 人 P 地 址 。 此 外 , 还 可 以 作为 纯 IPv6 以 
及 在 IPv6 over IPv4 模式 下 对 IPv6 进行 负载 平衡 。 

”支持 NDIS 6.0。NLB 驱动 程序 使 用 NDIS 6.0 轻型 第 选 模 型 。NDIS 6.0 保持 与 早期 NDIS 版 
本 的 向 后 兼容 性 。 NDIS 6.0 的 设计 包括 增强 的 驱动 程序 性 能 和 可 伸缩 性 以 及 简化 的 NDIS 驱动 
程序 模型 。 

”WMI 增强 。MicrosoftNLB 命名 空间 添加 了 对 IPv6 的 多 个 专用 下 地 址 的 支持 ， 包 括 以 下 地 址 。 
。 MicrosoftNLB 命名 空间 中 的 类 支持 IPv6 地 址 (除了 IPv4 地 址 之 外 )。 

。 MicrosoftNLB_NodeSetting 类 支持 多 个 专用 的 瑟 地 址 , 方法 是 在 DedicatedIPAddresses 和 
DedicatedNetMasks 中 指定 这 些 地 址 。 

里。 改进 了 拒绝 服务 (DoS) 攻击 和 计时 器 饥饿 保护 。 使 用 回调 接口 ，NLB 可 以 在 攻击 期 间或 者 节点 
负载 过 高 时 检测 并 通知 应 用 程序 。 当 群集 节点 过 载 或 者 受到 攻击 时 ，ISA 服务 器 使 用 该 功能 。 

里 支持 每 个 节点 使 用 多 个 专用 全 地 址 。 NLB 完全 支持 为 每 个 节点 定义 多 个 专用 卫 地 址 , 而 以 前 
只 支持 每 个 节点 使 用 一 个 专用 耳 地 址 。 当 客户 端 由 IPv4 和 IPv6 通信 组 成 时 ，ISA 服务 器 可 
以 使 用 该 功能 来 管理 每 个 NLB 节点 。 

支持 滚动 升级 。NLB 支持 从 Windows Server 2003 到 Windows Server 2008 的 滚动 升级 。 

”通过 网 络 负载 平衡 管理 器 综合 管理 。 不 再 需要 使 用 网 络 连 接 工具 配置 NLB 和 群集， 只 需 通过 
Windows Server 2008 中 的 NLB 管理 器 即 可 执行 NLB 群集 配置 。 这 样 便 可 以 最 大 限度 地 减少 
可 能 因 和 群集 主机 之 间 设 置 不 一 致 引起 的 NLB 配置 问题 。 


14.1.2 ”NLB 配置 


NLB 作为 Windows 网 络 驱动 程序 运行 ,如 图 14-2 所 示 ， 
它 的 操作 对 于 TCP/IP 网 络 堆栈 是 透明 的 。 
et 
适配器 驱 动 程序 
= 可 伸缩 性 : 可 伸缩 性 是 量度 计算 机 、 服 务 或 应 用 程序 
如 何 更 好 地 改进 以 满足 持续 增长 的 性 能 需求 的 标准 。 | [要 


对 于 NLB 群集 而 言 , 可 伸缩 性 是 指 当 群集 的 全 部 负 
载 超过 其 能 力 时 逐步 将 一 个 或 多 个 系统 添加 到 现 有 
群集 中 的 功能 。 以 下 详细 介绍 了 NLB 的 可 伸缩 性 
功能 。 图 14-2 网络 负载 平衡 
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@ Windows Server 2008 下 下 亏 三 二 三 


。 平衡 NLB 群集 上 对 各 个 TCP/IP 服务 的 负载 请 求 。 
。 在 一 个 群集 中 最 多 支持 32 台 计算 机 。 
。 平衡 群集 中 多 个 主机 之 间 的 多 个 服务 器 负载 请 求 (来 自 同一 个 客户 端 或 者 来 自 几 个 客户 端 )。 
。 支持 在 负载 增加 时 ， 能 够 在 不 关闭 群集 的 情况 下 向 NLB 群集 中 添加 主机 。 
。 支持 在 负载 降低 时 ， 能 够 从 群集 中 删除 主机 。 
。 通过 全 部 实现 管道 化 提高 性 能 并 降低 开销 。 管 道 允许 向 NLB 群集 发 送 请 求 ， 而 无 须 等 待 响 
应 上 一 个 发 送 的 请 求 。 
ms ”高 可 用 性 : 通过 最 大 限度 地 减少 停机 时 间 ， 高 可 用 系统 能 够 可 靠 地 提供 可 接受 级 别 的 服务 。NLB 
包括 一 些 内 置 功能 ， 可 以 通过 自动 执行 以 下 操作 来 提供 高 可 用 性 。 
。 ”检测 发 生 故障 或 脱 机 的 群集 主机 并 对 其 进行 恢复 。 
。 在 添加 或 删除 主机 时 平衡 网 络 负载 。 
。 在 10s 之 内 恢复 并 重新 分 发 负载 。 
”可 管理 性 :NLB 提供 以 下 可 管理 性 功能 。 
。 使 用 NLB 管理 器 ， 可 以 从 单个 计算 机 管理 和 配置 多 个 NLB 群集 和 群集 主机 。 
。 ”使 用 端口 管理 规则 ， 可 以 为 单个 PP 端口 或 一 组 端口 指定 负载 平衡 行为 。 
。 ”可 以 为 每 个 网 站 定义 不 同 的 端口 规则 。 如 果 对 多 个 应 用 程序 或 网 站 使 用 相同 的 一 组 负载 平衡 
服务 器 ， 则 端口 规则 基于 目标 虚拟 IP 地 址 (使 用 虚拟 群集 )。 
。 ”使 用 可 选 的 单 主机 规则 ， 可 以 将 所 有 客户 端 请 求 引导 至 单个 主机 。NLB 将 客户 端 请 求 路 由 到 
运行 特定 应 用 程序 的 特定 主机 。 
。 可 以 阻止 对 某 些 IP 端口 进行 不 需要 的 网 络 访问 。 
可 以 在 群集 主机 上 启用 Internet 组 管理 协议 (IGMP) 支持， 以 控制 交换 机 广播 (在 多 播 模式 


中 操作 时 )。 

。 ”使 用 shell 命令 或 脚本 ， 可 以 从 运行 Windows 的 任何 联网 计算 机 上 远程 启动 、 停 止 和 控制 
NLB 操作 。 

。 可 以 查看 Windows 事件 日 志 以 检查 NLB 事件 . NLB 在 事件 日 志 中 记录 所 有 操作 和 群集 
更 改 。 


” 易 用 性 : NLB 提供 了 许多 便于 使 用 的 功能 。 

。 可 以 作为 标准 的 Windows 网 络 驱动 程序 组 件 安装 NLB。 

。 NLB 不 需要 更 改 任何 硬件 即 可 启用 和 运行 。 

。 使 用 NLB 管理 器 可 以 新 建 NLB 群集 。 

。 使 用 NLB 管理 器 , 可 以 从 一 台 远 程 或 本 地 计算 机 上 配置 和 管理 多 个 群集 以 及 群集 的 所 有 主 
机 。 
。 NLB 允许 客户 端 使 用 单个 逻辑 Internet 名 称 和 虚拟 IP 地 址 ( 称 为 群集 IP 地 址 ， 它 保留 每 

台 计 算 机 的 各 个 名 称 ) 访 问 群集 。NLB 允许 多 宿主 服务 器 具有 多 个 虚拟 IP 地 址 。 


注意 : 如 果 是 虚拟 群集 ， 则 不 需要 服务 器 是 多 宿主 服务 器 即 可 具有 多 个 虚拟 IP 地 址 。 
可 以 将 NLB 绑 定 到 多 个 网 络 适配器 ， 这 样 便 可 以 在 每 个 主机 上 配置 多 个 独立 的 群集 。 支持 多 个 网 络 适 
配器 与 虚拟 群集 不 同 ， 因 为 虚拟 群集 多 许 用 户 在 单个 网 络 适配器 上 配置 多 个 群集 。 


。 不 需要 修改 服务 器 应 用 程序 即 可 在 NLB 群集 中 运行 。 
。 ”如 果 群 集 主机 出 现 故 障 并 且 后 来 又 恢复 联机 ， 则 可 以 将 NLB 配置 为 自动 将 该 主机 添加 到 群 
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集 。 之 后 ， 添 加 的 主机 将 能 够 开始 处 理 来 自 客户 端的 新 的 服务 器 请 求 。 
。 可 以 在 不 打扰 其 他 主机 上 群集 操作 的 情况 下 使 计算 机 脱 机 进行 预防 性 的 维护 。 
m ”NLB 群集 最 早出 现在 Windows 2000 Server 的 Advanced Server 系统 中 ， 在 Windows Server 
2008 的 某 些 版 本 中 均 提 供 了 此 项 功能 。 


14.2 ”NLB 的 使 用 场景 


下 面 介绍 使 用 网 络 负载 平衡 的 使 用 场景 。 


14.2.1 Web 站 点 的 负载 平衡 


某 学 院 的 Web 站 点 为 了 实现 负载 平衡 ,避免 单 点 故障 ， 考虑 使 用 镜像 站 点 实现 元 余 和 负载 平衡 , 这 几 
个 镜像 站 点 放 在 DMZ 区， 网 站 使 用 的 数据 库 放 在 企业 的 内 网 中 。 

如 图 14-3 所 示 , 通过 使 用 NLB 技术 , 这 几 个 Web 服务 器 使 用 公共 的 地 址 22.34.3.100 访问 DMZ 中 的 
Web 服务 器 。 来 自 互联 网 的 请 求 将 会 自动 地 由 这 几 个 服务 器 均 摊 。 


~ 


Internet 


Internet 用 户 
JP=80324 


图 14-3 ”Web 站 点 网 络 负载 平衡 


14.2.2 ”终端 服务 负载 平衡 


某 汽车 生产 厂 正 在 开发 应 用 软件 ， 该 应 用 软件 正 处 于 试 运行 期 间 ， 如 果 在 每 个 财务 人 员 的 计算 机 上 安 
装 该 软件 ， 软 件 升级 更 新 很 不 方便 。 为 了 方便 起 见 ， 如 图 14-4 所 示 ， 将 测试 版 的 软件 安装 在 终端 服务 器 
TS1 和 TS2 上 ， 财 务 人 员 通 过 终端 服务 使 用 TS1 和 TS2 上 的 软件 ， 使 用 NLB 技术 ， 财 务 人 员 的 计算 机 连 
接 NLBIP 地 址 ,将 会 把 来 自 财务 人 员 的 请 求 分 摊 到 两 个 终端 服务 器 。 这 两 个 服务 器 上 的 软件 操作 的 是 同一 
个 数据 库 ， 因 此 用 户 使 用 任何 一 个 终端 服务 器 上 的 程序 ， 操 作 的 数据 都 是 一 样 的 。 


VSL7Y 


@ Windows Server 2008 下 王 亏 三 于 三。 


Client1 SQL 
ip=192168023 


TS1 
JP=19216803 
NLBIP=192168.010 


TS2 
JP=192168.04 
NLBIP=192.168.0.10 


Client4 


14-4 ”终端 服务 器 负载 平衡 


14.2.3 网关 的 负载 平衡 


如 图 14-5 所 示 ， 某 单位 有 两 个 办 公 室 OfficeA 和 OfficeB， 分 别 有 两 个 ADSL 接 入 Internet。 现 在 想 
实现 两 条 线路 的 负载 平衡 和 宛 余 。 首 先 需要 将 两 个 办 公 室 的 交换 机 连接 起 来 ， 再 将 这 两 个 办 公 室 的 卫 地 址 
设置 成 一 个 网 段 ， 将 公用 的 全 地 址 设置 成 192.168.0.1，OfficeA 和 OfficeB 的 计算 机 网 关 设 置 成 NLBIP 
192.168.0.1。 如 果 OfficeB 中 连接 ADSL 的 计算 机 出 现 故 障 ， 断 掉 局 域 网 的 网 线 ， 两 个 办 公 室 的 计算 机 将 
会 使 用 OfficeA 中 的 ADSL 上 网 。 如 果 两 个 网 线 都 能 用 , 访问 Internet 的 流量 将 会 从 两 个 ADSL 负载 平衡 。 


IP=192.168.0.3 


14.3 在 Windows Server 2008 上 配置 NLB 


1. 实验 环境 
DCServer 是 Ess.com 域 的 域 控制 器 。 


Fileserver 和 Research 属于 Ess.com 域 ， 安 装 有 Windows Server 2008 企业 版 。 


一 网 


Internet 


ADSL 


14-5 ”网 关 负 载 平衡 


Sales 计算 机 是 Ess.com 域 的 成 员 ， 安 装 Vista 企业 版 。 
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ADSL Ip=192.168.02 


NLBIP=192.168.0.1 
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2. 实验 要 求 


实现 FileServer 和 Research 服务 器 的 网 络 负载 平衡 。 


(@) 注意 ;如果 给 工作 组 中 的 计算 机 配置 NLB， 这 两 个 服务 器 的 管理 员 账号 和 密码 设置 成 一 致 的 ， 这 样 才能 
在 一 台 服务 器 上 将 另 一 台 服务 器 添加 过 来 进行 管理 ， 否 则 提示 没 权 限 。 FileServer 和 Research 必须 是 静态 
地 址 ， 必 须 在 一 个 网 段 ， 如 图 14-6 所 示 。 


Research FlleServer 
有 Pp 地 址 10.7.10.71 。 有 P 地 址 10.7.10.12 
NLBIP 10.7.10.100 NLBIP 10.7.10.100 


Ess.com 


Sales 
IP 她 址 10.7.10.12 


图 14-6 实验 环境 


14.3.1 配置 Windows Server 2008 NLB 
@ 以 域 管理 员 的 身份 登录 到 Research， 单 击 要 到 国 护 钮 ， 打 开 服 务 器 管理 器 ， 如 图 14-7 所 示 ， 单 
击 “ 添 加 功能 ”按钮 。 
@ ”如 图 14-8 所 示 ， 在 弹出 的 “选择 功能 ”界面 中 ， 选 中 “网 络 负载 平衡 ” 复 选 框 。 


图 14-7 添加 功能 


图 单 击 “ 下 一 步 ”按钮 ， 完 成 安装 。 
@ 在 另 一 Research 服务 器 上 ， 也 安装 网 络 负载 平衡 功能 。 


ER 


@ 系统 管理 之 首 


15201 


回 如 图 14-9 所 示 ， 在 FileServer 上 ， 选 择 “ 开 始 ” 一 “程序 ”一 “管理 工具 ”一 “网 络 负载 平衡 管 
理 器 ”命令 ， 打 开 “ 网 络 负载 平衡 管理 器 ”窗口 ， 在 左 侧 窗 格 中 右 击 “网 络 负载 平衡 群集 ”， 从 
弹出 的 快捷 菜单 中 选择 “新 建 群集 ”命令 。 

如 图 14-10 所 示 ， 输 入 fileserver， 单 击 “ 连 接 ” 按 钮 ， 再 单 击 “ 下 一 步 ” 按 钮 。 


wp 
SI 站 加 晤 | 站 回 略 


图 14-9 新 建 群集 图 14-10 ”连接 到 服务 器 


@ 如 图 14-11 所 示 ， 在 出 现 的 “新 群集 : 主机 参数 ”对 话 框 中 ， 优 先 级 (单一 主机 标识 符 ) 选 择 1， 单 
击 “ 添 加 ”按钮 ， 在 对 话 框 中 输入 专用 全 地 址 ( 即 配置 NLB 网 卡 的 现在 的 他 地址 )， 单 击 “ 下 一 
步 ” 按 钮 。 


© 注意 : 参数 为 每 个 主机 指定 一 个 唯一 ID. 群集 的 当前 成 员 中 优先 级 数值 最 低 的 主机 处 理 端口 规则 未 涉及 
所 有 群集 的 网 络 通信 。 可 以 通过 在 “端口 规则 ”选项 卡 中 指定 规则 ， 来 覆盖 这 些 优先 级 或 者 为 特定 范围 
的 端口 提供 负载 平衡 。 如 果 新 主机 加 入 了 群集 ， 并 且 其 优先 级 与 群集 中 的 另 一 个 主机 冲突 ， 则 不 能 接受 
该 主机 作为 群集 的 一 部 分 。 群集 的 其 余部 分 将 继续 处 理 通信 。 会 将 描述 此 问题 的 消息 写 入 Windows 事 
件 日 志 中 。 


如 图 14-12 所 示 ， 在 出 现 的 新 群集 对 话 框 中 ， 单 击 “ 添 加 ”按钮 ， 在 出 现 的 对 话 框 中 输入 NLB 群 
集 卫 地址 ， 单 击 “ 确 定 ” 按 钮 。 再 单 击 “ 下 一 步 ” 按 钮 。 


Te ac wedoms mtp 
LoL EI NL- lsls) 


图 14-11 选择 主机 ID 图 14-12 输入 NLB IP 地 址 
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如 图 14-13 所 示 ， 在 出 现 的 “新 群集 : 群集 参数 ”对 话 框 中 ， 输 入 完整 的 mternet 名 称 。 如 果 是 
Web 站 点 ， 可 以 输入 访问 该 站 点 的 域名 ， 群 集 操作 模式 选择 “多 播 ” 单 选 按钮 ， 单 击 “ 下 一 步 ” 
按钮 。 


注意 : 在 多 播 模式 下 ， 实 体 主机 之 间 可 以 互相 通信 。 一般 来 说 ， 在 创建 NLB 时 ， 可 以 选择 单 网 卡 多 播 ， 
双 网 卡 单 播 。 双 网 卡 单 播 时 ， 因 为 主机 之 间 不 能 互相 通信 ， 将 设置 内 网 通信 的 网 卡 ， 也 就 是 群集 设置 中 
的 心跳 。 微软 官 方 推荐 在 NLB 设置 时 ， 首 先 考虑 单 播 模 式 ， 除 非 单 播 不 能 满足 其 要 求 。 


如 图 14-14 所 示 ， 在 端口 规则 对 话 框 中 ， 单 击 “编辑 ”按钮 。 查 看 可 以 设置 的 项 ， 保 持 默认 ， 单 
击 “ 完 成 ”按钮 。 


Ce ct wndows rip 
mn DHD Syl Bl ET MNT: els] 


[TD 


图 14-13 ”群集 IP 地 址 和 域名 图 14-14 ”编辑 端口 规则 


@ 在 端口 规则 对 话 框 中 ， 单 击 “ 编 辑 ”按钮 。 如 图 14-15 所 示 ， 可 以 “编辑 ”端口 规则 。 在 筛选 模 
式 下 ， 选 中 “无 ” 单 选 按钮 ， 单 击 “确定 ”按钮 。 
端口 规则 ， 可 以 指定 在 哪些 端口 上 和 协议 上 实现 网 络 负载 平衡 。 比 如 Web 站 点 的 负载 平衡 ,就 可 
以 选择 TCP 的 80 端口。 

= 簿 选 模式 “多 个 主机 ”参数 ， 指 定 群 集中 的 多 个 主机 将 针对 关联 的 端口 规 则 处 理 网 络 通信 。 该 得 
选 模式 通过 将 网 络 负载 分 发 在 多 个 主机 中 来 提供 缩放 的 性 能 和 容错 。 用 户 可 以 指定 在 各 个 主机 中 
同等 分 发 负载 ， 或 者 每 个 主机 处 理 指定 的 负载 权重 。 

“单一 主机 ”参数 ， 指 定 由 群集 中 的 单个 主机 根据 指定 的 处 理 优先 级 处 理 针对 关联 端口 规则 的 网 
络 通 信 。 该 第 选 模式 提供 端口 特定 的 容错 来 处 理 网 络 通信 。 

“禁用 此 端口 范围 ”参数 ， 指 定 阻 止 针对 关联 端口 规则 的 所 有 网 络 通信 。 在 这 种 情况 下 ，NLB 驱 
动 程序 将 筛选 所 有 相应 的 网 络 数据 包 或 数据 报 。 该 筛选 模式 允许 阻 目地 址 为 特定 端口 范围 的 网 
络 通信 。 

“相似 性 ”参数 ， 仅 适用 于 “多 个 主机 ”第 选 模式 。 

“无 ”选项 :指定 来 自 相同 客户 端 IP 地 址 的 多 个 连接 可 以 由 不 同 的 群集 主机 进行 处 理 (没有 客户 
端 关联 )。 为 了 使 网 络 负载 平衡 能 够 正确 处 理 IP 分 段 ， 选 择 UDP 或 “两 者 ”作为 协议 设置 时 ， 
应 该 避免 使 用 “无 ”。 

“单一 ”选项 : 指定 NLB 应 该 将 来 自 相同 客户 端 IP 地 址 的 多 个 请 求 引导 至 同一 个 客户 端 主机 。 
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@ Windows Server 2008 下 开工 二 下 三， 


这 是 “相似 性 ”的 默认 设置 。 还 可 以 通过 启用 “网 络 ” 选 项 来 代替 “单个 ”选项 ， 修 改 NLB 客 
户 端 关联 , 以 便 将 来 自 TCP/IP 的 C 类 地 址 范围 (而 不 是 单个 IP 地 址 ) 的 所 有 客户 端 请 求 引导 至 
单个 群集 主机 。 该 功能 确保 使 用 多 个 代理 服务 器 访问 群集 的 客户 端 可 以 使 其 TCP 连接 指向 同一 
个 群集 主机 。 

于 “网 络 ”选项 : 指定 NLB 应 该 将 来 自 相同 TCP/IP 的 C 类 地 址 范围 的 多 个 请 求 引导 至 同一 个 
客户 端 主机 。 启 用 “网 络 ” 关 联 ， 而 不 是 启用 “单个 ”关联 ， 可 确保 使 用 多 个 代理 服务 器 访问 群 
集 的 客户 端 能 够 使 其 TCP 连接 指向 同一 个 群集 主机 。 
在 客户 端 站 点 上 使 用 多 个 代理 服务 器 会 导致 来 自 单个 客户 端的 请 求 显示 为 来 自 不 同 的 计算 机 。 如 
果 所 有 客户 端的 代理 服务 器 都 位 于 同一 个 地 址 范围 内 ， 则 “网 络 ”关联 会 确保 正确 处 理 客户 端 会 
话 。 如 果 不 需要 该 功能 ， 请 使 用 “单个 ”关联 以 最 大 限度 地 提高 缩放 性 能 。 

中 ”完成 配置 。 

四 如 图 14-16 所 示 ， 在 命令 提示 符 下 输入 ipconfig， 可 以 看 到 添加 的 NLB IP 为 10.7.10.100。 


Fe 0 Vow We Tem sce 


ao cee 
WO DS $8ur|e 门 百 忆 站 日 辐 


lo 
[en Su 
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图 14-15 配置 筛选 模式 图 14-16 查看 NLB 地 址 


四 如 图 14-17 所 示 ， 右 击 刚才 创建 的 群集 ， 从 弹出 的 快捷 菜单 中 选择 “添加 主机 到 和 群集” 命令。 
加 ”如 图 14-18 所 示 ， 输 入 research 地 址 ， 单 击 “ 连 接 ” 按 钮 ， 再 单 击 “ 下 一 步 ”按钮 。 


EET [5 区 | 名 本 re 5 
号 负 器 直 汪 ELITEES 
图 14-17 添加 主机 到 群集 图 14-18 连接 到 主机 
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四 如 图 14-19 所 示 ， 在 出 现 的 主机 参数 对 话 框 中 ， 优 先 级 默认 就 是 2， 单 击 “ 下 一 步 ” 按 钮 。 


提示 : 如 果 提 示 没 有 权限 ， 需 要 使 用 域 管理 员 账 户 在 FileServer 上 登录 ， 如 果 FileServer 和 Research 属于 
工作 组 , 再 更 改 FileServer 管理 员 的 账号 和 密码 与 Research 计算 机 上 的 管理 员 账号 和 密码 一 致 。 如 果 连 接 ， 
不 成 功 ， 需 要 关闭 Research 的 防火 墙 。 


多 ”如 图 14-20 所 示 ， 在 出 现 的 端口 规则 对 话 框 中 ， 保 持 默 认 设置 ， 单 击 “ 完 成 ”按钮 。 


图 14-19 ”主机 标识 符 图 14-20 ”端口 规则 
@@ 如 图 14-21 所 示 ， 过 一 段 时 间 ， 群 集中 的 两 个 节点 都 变 成 已 聚合 状态 ， 说 明 配 置 成 功 。 


ce mp 
记名 站 加 | 站 | 
TD 


图 14-21 聚合 


14.3.2 ”验证 网 络 负载 平衡 


下 面 介绍 使 用 远程 桌面 验证 NLB 的 配置 。 

@ 在 Sales 计算机 上 ， 选择“ 开始 ”一 “运行 ”命令 , 在 出 现 的 “运行 ”对 话 框 中 输入 mstsc， 单 击 
“确定 ”按钮 ， 打 开 远程 桌面 客户 端 。 

回 ”连接 10.7.10.100， 输 入 账号 和 密码 。 
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@ Windows Server 2008 必 二 
图 ”再 次 运行 mstsc， 输 入 10.7.10.100， 输 入 账号 和 密码 ， 可 以 看 到 连 到 了 不 同 的 服务 器 ， 如 图 14-22 
所 示 。 可 以 说 明 已 经 实现 网 络 负载 平衡 。 


图 14-22 网络 负载 平衡 确认 


@ 如 图 14-23 所 示 ， 断 开 FileServer 的 网 络 连接 。 
回 如 图 14-24 所 示 ， 在 Sales 计算 机 上 使 用 远程 桌面 连接 10.7.10.100。 可 以 发 现 将 用 户 定位 到 了 


Research 服务 器 。 


me em vow (RD) oom oo rtp 
Peed 


图 14-24 验证 NLB 


图 14-23” 断 开 网 络 连接 
@ 断 开 Research 服务 器 的 网 络 ， 将 FileServer 网 络 连接 上 ， 在 Sales 计算 机 上 使 用 远程 桌面 连接 
10.7.10.100， 可 以 发 现 将 用 户 定位 到 了 FileServer。 这 证 明 NLB 还 可 以 实现 容错 。 


14.4 QoS 
QoS 的 英文 全 称 为 Quality of Service， 中 文 名 为 “服务 质量 ”。QoS 是 网 络 的 一 种 安全 机 制 ， 是 用 来 
解决 网 络 延迟 和 阻塞 等 问题 的 一 种 技术 。 
在 正常 情况 下 ， 如 果 网 络 只 用 于 特定 的 无 时 间 限 制 的 应 用 系统 ， 并 不 需要 QoS， 比 如 Web 应 用 ， 或 
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E-mail 设置 等 。 但 是 对 关键 应 用 和 多 媒体 应 用 就 十 分 必要 。 当 网 络 过 载 或 拥塞 时 ，QoS 能 确保 重要 业务 量 
不 被 延迟 或 丢弃 ， 同 时 保证 网 络 的 高 效 运行 。 

在 Windows 中 ,基于 策略 的 QoS 结合 了 基于 标准 的 QoS 的 功能 性 和 组 策略 的 可 管理 性 .此 组 合 使 QoS 
策略 更 易于 应 用 到 组 策略 对 象 中 。 Windows 包括 一 个 基于 策略 的 QoS 向 导 , 可 帮助 用 户 在 组 策略 中 配置 
QoS。 


示例 : 使 用 QoS 限制 从 文件 服务 器 下 载 带 宽 


1. 实验 环境 

FileServer 安装 有 Windows Server 2008 企业 版 。 
Sales 安装 有 Vista 企业 版 。 

实验 示意 图 如 图 14-25 所 示 。 


Sales 
IP 地 址 10.7.10.123 


图 14-25 实验 示意 图 

2. 实验 目标 

限制 Sales 计算 机 从 FileServer 服务 器 上 下 载 文件 的 带宽 。 

使 用 性 能 计数 器 检测 比较 使 用 QoS 策略 前 后 复制 文件 时 的 带宽 。 

以 下 操作 将 创建 QoS 规则 ， 用 它 来 演示 如 何 管理 服务 质量 的 内 在 功能 。 将 创建 基于 策略 的 QoS 规 
则 ， 该 规则 的 作用 是 将 传输 至 特定 计算 机 端口 445 的 流量 限制 到 1024 KB/s。 此 策略 仅 供 演示 之 用 。 在 使 
用 网 络 资源 时 ， 全 局 性 地 限制 端口 445 可 能 会 造成 严重 的 性 能 损失 。 此 外 ， 此 任务 还 将 通信 限制 到 特定 的 
IP 地 址 。 在 实际 部 署 中 ， 可 以 将 部 署 限制 到 一 组 IP 地 址 (如 子 网 )， 这 通过 输入 子 网 ID, 用 它 来 代替 单一 
IP 地 址 即 可 实现 。 

Q@ 在 FileServer 上 ， 选择“ 开始 ”一 “运行 ”命令 ， 在 出 现 的 “运行 ”对 话 框 中 输入 MMC， 单 

“确定 ”按钮 。 

加 ”如 图 14-26 所 示 ， 在 打开 的 微软 管理 控制 台中 ， 选 择 “ 文 件 ” 一 “添加 /删除 管理 单元 ”命令 。 

图 如 图 14-27 所 示 ， 在 “添加 或 删除 管理 单元 ”对 话 框 中 ， 选择“ 可 靠 性 和 性 能 监视 器 ”， 单 击 “ 添 
加 ”按钮 ， 然 后 单 击 “确定 ”按钮 。 
@ 
© 


如 图 14-28 所 示 ， 单 击 甘 按钮 ， 添 加 性 能 计数 器 。 
如 图 14-29 所 示 , 在 出 现 的 “添加 计数 器 ”对 话 框 中 ,选择 Network Interface 下 面 的 Bytes Total/sec 
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选项 ， 单 击 “ 添 加 ”按钮 。 
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14-26 ”添加 /删除 管理 单元 图 14-27 ”添加 可 靠 性 和 性 能 监视 器 
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图 14-28 ”添加 性 能 计数 器 图 14-29 网络 流量 
如 图 14-30 所 示 , 在 Sales 计算 机 上 访问 FileServer 共享 文件 , 将 其 中 的 一 个 电影 文件 复制 到 Sales 
桌面 上 ， 单 击 久 按 钮 。 
@ 如 图 14-31 所 示 ， 可 以 看 到 复制 文件 的 速度 。 
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14-30 复制 文件 图 14-31 ”查看 流量 
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第 14 章 高 可 用 群集 和 QoS 


如 图 14-32 所 示 ， 在 FileServer 上 ， 打 开 性 能 监视 器 ， 单 击 加 按钮 选择“ 报告 ”， 可 以 看 到 以 
数字 显示 的 带宽 ， 如 图 14-33 所 示 。 


提示 : 可 以 看 到 在 没有 限制 带宽 使 用 的 情况 下 ， 复 制 文件 将 尽 可 能 地 使 用 网 络 带宽 。 以 下 操作 将 会 创建 
基于 策略 的 QoS。 


TS 
TET 


Ta el: 
be 
EYEEYT:E 


图 14-32 改变 显示 方式 图 14-33 显示 带宽 


@ 如 图 14-34 所 示 ， 选 择 “ 开 始 ” 一 “运行 ”命令 ， 在 出 现 的 “运行 ”对 话 框 中 输入 gpedit.msc， 
单 击 “ 确 定 ” 按 钮 。 

如 图 14-35 所 示 ， 在 打开 的 “本 地 组 策略 编辑 器 ”窗口 中 ， 右 击 “ 基 于 策略 的 Qos” 选 项 ， 在 弹 
出 的 快捷 菜单 中 选择 “新 建 策略 ”命令 。 


Sw TD 
EFTLELLE EELLEELES 


图 14-34 ”打开 组 策略 编辑 器 图 14-35 创建 策略 


如 图 14-36 所 示 ， 输 入 策略 名 称 ， 取 消 选 中 “指定 DSCP 值 ” 复 选 框 ， 选 中 “指定 中 止 值 等 级 ” 
复 选 框 ， 输 入 带宽 1024， 单 击 “ 下 一 步 ” 按 钮 。 

如 图 14-37 所 示 ， 选 中 “所 有 应 用 程序 ” 单 选 按钮 ， 单 击 “ 下 一 步 ”按钮 。 

如 图 14-38 所 示 , 选中 “ 仅 用 于 以 下 目标 卫 地 址 或 前 缀 ” 单 选 按钮 ， 输 入 Sales 计算 机 的 他 地址。 
如 图 14-39 所 示 ， 选 择 TCP 协议 , 选中 “来 自 此 源 端 口号 或 范围 ” 单 选 按钮 , 输入 445， 单 击 “ 完 
成 ”按钮 。 
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图 14-38 ”指定 源 地 址 和 目标 地 址 图 14-39 ”指定 协议 和 端口 


加 如 图 14-40 所 示 ， 在 Sales 上 复制 FileServer 共享 文件 夹 中 的 文件 ， 可 以 看 到 传输 速度 被 限制 到 
1024 KB/s 以 下 。 

四 ”如 图 14-41 所 示 ， 在 FileServer 的 性 能 计数 器 中 ， 可 以 看 到 详细 的 传输 速率 。 这 说 明 刚才 创建 的 
限制 文件 传输 QoS 策略 已 经 起 作用 了 。 


图 14-40 ”测试 流量 
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-个 群集 就 是 一 组 协同 工作 以 提高 服务 质量 和 应 
用 程序 可 用 性 的 独立 计算 机 。 多 台 群 集 服务 器 ( 称 为 节 
点 ) 之 间 由 物理 电缆 和 软件 连接 。 如 果 其 中 一 个 节点 出 
现 故 障 ， 另 外 一 个 节点 就 会 -从 
进程 开始 提供 服务 。 

在 Windows Server 2008 中 ， 对 故障 转移 群集 
(以 前 称 为 服务 器 群集 ) 进 行 改进 的 目的 是 为 了 简化 群 
集 ， 使 它们 更 加 安全 ， 并 增强 群集 稳定 性 。 群 集 设置 


和 管理 更 加 容易 。 同 故障 转移 群集 与 存储 进行 通信 的 
方法 获得 改进 一 样 ， 群 集中 的 安全 性 和 联网 也 得 到 了 
改进 。 

本 章 内 容 还 包括 : 安装 和 配置 虚拟 存储 ， 配 置 
Windows Server 2008 使 用 iSCSI， 配置 心跳 线 ， 安 装 
故障 转移 群集 ， 确 定 仲裁 磁盘 ， 配 置 文件 服务 器 双 
节点 群集 。 


全 关键 词 
了 解 什 么 是 高 可 用 性 以 及 价值 
了 解 什么 是 故障 转移 群集 
Windows Server 2008 的 故障 转 
移 群 集 新 特性 
故障 转移 群集 对 硬件 的 要 求 
安装 和 配置 虚拟 存储 
配置 故障 转移 群集 
创建 文件 服务 器 双击 热 备 群集 
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15.1 高 可 用 性 


第 1 章 讲 到 了 Windows Server 2008 的 新 特性 ， 其 中 很 重要 的 一 个 就 是 高 可 用 性 ， 也 许 有 人 会 说 ， 在 
Windows Server 2003 中 也 有 关于 高 可 用 的 特性 ， 比 如 群集 、 网 络 负载 均衡 、 灾 难 恢复 等 。 既 然 作 为 Server 
2008 一 个 重要 的 应 用 场景 ， 高 可 用 性 的 改进 和 变化 自然 也 是 很 大 的 ， 到 底 会 有 怎样 的 变化 呢 ? 

首先 我 们 要 明确 ， 什 么 是 可 用 性 ， 可 用 性 包括 可 靠 性 、 故 障 和 恢复 。 一 个 系统 的 可 靠 性 、 故 障 发 生 时 
间 间 隔 和 故障 恢复 速度 ， 共 同 决定 了 这 个 系统 的 可 用 性 。 那 么 我 们 通常 如 何 来 衡量 一 个 系统 的 可 用 性 呢 ? 
最 常用 的 方法 就 是 使 用 数字 “9”， 通 常 我 们 会 以 几 个 “9” 来 说 明 系 统 的 可 用 性 。 看 下 面 这 张 表 : 


95e 72.00 分 钟 = 36 小 时 18.26 天 ” 
99" 14.40 分 钟 2 7 小 时 = 3.65 天 2 
999» 86.40 秒 钟 2 3 分 钟 = 8.77 小 时 
gees .ea 种 钟 。 4 分 钟 = 52.56 分 钟 = 
99.999” 0.86 秒 钟 > 26 秒 锌 = 5.26 分 钟 > 


通过 这 张 表 ， 我 们 不 难 发 现 ， 要 做 到 3 个 “9” 级 别 的 系统 可 用 性 ， 每 年 只 允许 我 们 有 8.77 个 小 时 的 
停机 时 间 。 当 然 ， 可 用 性 只 能 用 “9”， 而 不 可 能 用 “8” 或 者 “7” 来 衡量 。 一 个 系统 的 高 可 用 性 ， 需 要 很 
多 方面 共同 实现 ， 如 硬件 、 网 络 、 操 作 系 统 、 应 用 层面 都 需要 有 相应 的 高 可 用 解决 方案 。 在 操作 系统 层面 
上 ， 微 软 的 Windows Server 已 经 为 我 们 提供 了 很 好 的 高 可 用 解决 方案 : Cluster( 群 集 ， 一 种 并 行 或 分 布 式 
的 系统 ， 由 全 面 互 连 的 计算 机 集合 组 成 ， 可 以 作为 一 个 统一 的 计算 机 资源 使 用 )。 

在 此 将 讨论 一 下 高 可 用 性 方案 对 企业 用 户 的 价值 。 我 们 经 常 说 ， 或 者 经 常会 听 到 某 个 厂商 说 ， 高 可 用 
方案 能 够 降低 TCO( 总 拥有 成 本 )， 可 很 多 企业 都 对 这 个 有 所 质疑 ， 本 来 一 台 服 务 器 能 完成 的 工作 ， 现 在 需 
要 购买 额外 的 服务 器 ， 明明 硬件 成 本 、 维 护 成 本 甚至 人 员 成 本 都 增加 了 ， 怎 么 还 能 降低 TCO 呢 ? 下面 的 例 
子 可 以 说 明 这 个 问题 。2007 年 10 月 底 的 一 天 ， 时 值 2008 年 奥运 会 门票 第 二 阶段 发 售 之 日 ， 当 时 的 售票 策 
咯 是 先 到 先 得 。 于 是 ， 在 发 售 门票 开始 时 ， 便 有 成 千 上 万 乃至 上 百 万 的 用 户 蜂拥 到 奥运 门票 销售 网 站 ， 去 
时 间 网 站 就 因为 并 发 连接 过 大 而 无 法 响应 了 。 之 后 的 一 天 时 间 中 ， 服 务 器 也 未 能 恢复 正常 工作 ， 以 至 于 后 
来 不 得 不 改变 门票 的 分 配方 式 。 我 想 对 这 件 事情 大 家 可 能 有 所 了 解 ， 也 许 是 售票 系统 的 软件 设计 问题 ， 也 
许 是 硬件 性 能 的 问题 ， 总 之 这 套 售 票 系统 既 不 可 靠 ， 还 发 生 了 故障 ， 而 且 未 能 恢复 ， 可 用 性 的 三 大 方面 一 
项 也 没 满足 ， 自 然 谈 不 上 高 可 用 啦 。 那 么 我 们 想 一 想 没有 高 可 用 带 来 的 损失 吧 ， 奥 运 是 全 世界 瞩目 的 大 事 ， 
在 如 此 之 大 的 事情 上 出 现 了 这 人 么 重大 的 失误 ， 造 成 的 损失 很 难 用 金钱 来 衡量 了 。 如 果 当 初 高 可 用 方案 做 得 
很 好 ， 当 然 也 就 没有 损失 了 ， 甚 至 可 能 带 来 很 高 的 信誉 。 由 此 可 见 ， 高 可 用 性 方案 不 只 会 给 企业 增加 成 本 ， 
而 是 真正 的 降低 了 企业 面临 的 风险 ， 降 低 了 TCO。 


15.2 ”故障 转移 群集 概述 


一 个 群集 就 是 一 组 协同 工作 以 提高 服务 质量 和 应 用 程序 可 用 性 的 独立 计算 机 。 多 台 群 集 服务 器 ( 称 为 节 
点 ) 之 间 由 物理 电缆 和 软件 连接 。 如 果 其 中 一 个 节点 出 现 故障 ， 另 外 一 个 节点 就 会 通过 称 为 故障 转移 的 一 个 
进程 开始 提供 服务 。 
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可 以 使 用 Microsoft 管理 控制 台 (MMC) 管理 单元 “故障 转移 群集 管理 ”来 验证 故障 转移 群集 配置 ， 
创建 和 管理 故障 转移 群集 ， 并 将 某 些 设置 从 一 个 运行 Windows Server 2003 的 群集 迁移 到 一 个 运行 
Windows Server 2008 操作 系统 的 群集 。 

在 Windows Server 2008 中 ， 对 故障 转移 群集 (以 前 称 为 服务 器 群集 ) 进 行 改进 的 目的 是 为 了 简化 群 
集 ， 使 它们 更 加 安全 ， 并 增强 群集 稳定 性 。 群 集 设置 和 管理 更 加 容易 。 同 故障 转移 群集 与 存储 进行 通信 的 
方法 获得 改进 一 样 ， 群 集中 的 安全 性 和 联网 也 得 到 了 改进 。 

应 注意 的 是 ， 故 障 转移 群集 功能 包含 在 Windows Server 2008 Enterprise 和 Windows Server 2008 
Datacenter 中 。 它 没有 包含 在 Windows Server 2008 Standard 或 Windows Web Server 2008 中 。 

Windows Server 2008 中 群集 的 变化 , 首先 , 最 明显 、 最 直观 的 就 是 名 称 的 变化 。 群 集 在 Windows NT4 
时 代 就 已 经 有 了 ， 那 时 叫做 Microsoft Cluster Services(MSCS); 到 了 Windows 2000 时 代 ， 叫 做 Server 
Clustering; 而 在 Windows Server 2008 中 ， 群 集 有 了 个 更 为 形象 的 名 称 ，Failover Clustering(WSFC)， 
这 个 名 字 起 的 很 形象 ，Fail 一 一 服务 器 故障 了 ，Over 一 一 转移 到 其 他 机 器 上 ， 正 好 叫做 Failover。 当 然 ， 名 
称 的 改进 是 不 会 对 企业 用 户 有 很 大 实际 意义 的 ， 关 键 是 它 在 技术 上 的 改进 。 


15.3 ”Windows Server 2008 故障 转移 群集 的 新 特性 


15.3.1 新 的 确认 向 导 功 能 


为 了 充分 实现 高 可 用 性 所 带 来 的 好 处 ， 必 须 谨慎 进行 全 部 的 配置 ， 包 括 服 务 器 、 网 络 和 存储 在 内 。 
Windows Server 2008 所 具备 的 新 的 故障 转移 群集 安装 与 配置 确认 向 导 ， 使 用 户 能 够 对 系统 、 存 储 及 网 络 
的 配置 是 否 适 于 集成 进行 确认 。 新 的 确认 向 导 所 进行 的 部 分 测试 包括 以 下 内 容 。 

节点 测试 。 确 认 服 务 器 是 否 正 在 运行 同样 的 操作 系统 版 本 及 是 否 进行 了 相同 的 软件 更 新 。 

”网 络 测试 。 确 定 是 否 计 划 的 群集 网 络 符合 具体 的 需求 ， 如 针对 网 络 元 余 是 否 具 有 至 少 两 个 独立 的 

子 网 。 
于 “存储 测试 。 分 析 是 否 进行 了 正确 的 存储 配置 ， 以 使 所 有 共享 的 磁盘 能 通过 全 部 的 群集 节点 进行 读 
取 以 及 确认 存储 是 否 符合 特定 的 需求 。 


15.3.2 ”大 卷 数 据 提高 的 可 扩展 性 


Windows Server 2008 包含 对 全 球 唯一 标识 符 (GUID) 或 GUID 分 区 表 (GPT) 以 集群 方式 存储 的 支持 。 
与 主 引 导 记 录 (MBR) 磁 极 不 同 ，GPT 磁极 能 够 具有 大 于 2000 GB 的 分 区 以 及 内 置 的 元 余 。GPT 所 具备 的 优 
点 要 大 于 MBR， 这 是 因为 它 允 许 每 个 磁盘 进行 最 多 128 个 的 分 区 ， 并 支持 18 EB 的 数据 量 ， 允 许 对 元 余 进 
行 初始 和 备份 分 区 ， 并 支持 唯一 的 磁盘 与 分 区 标识 。 


15.3.3 ”服务 器 管理 控制 台 


为 简化 群集 的 管理 ， 群 集 管理 界面 经 过 改进 能 够 让 管理 员 集中 于 应 用 与 数据 的 管理 ; 而 非 群 集 的 管理 。 
新 的 界面 基于 任务 设置 并 且 更 加 直观 ， 其 中 的 向 导 能 够 帮助 管理 员 完成 之 前 复杂 的 操作 。Windows Server 
2008 新 的 故障 管理 群集 能 够 使 以 下 管理 与 操作 任务 得 到 简化 。 
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”改进 的 群集 设置 与 迁移 : 简化 了 的 群集 设置 向 导 使 用 户 能 够 一 次 性 完成 群集 的 设置 ， 同 时 也 实现 
了 群集 的 脚本 可 编写 性 ， 使 配置 流程 自动 化 。 现 有 群集 的 迁移 流程 也 得 到 了 简化 。 资 源 组 的 设置 
可 以 从 运行 Windows Server 2003 的 群集 当中 进行 并 应 用 在 运行 了 Windows Server 2008 的 群 
集中 。 

”简化 的 管理 界面 :在 改进 了 向 导 和 界面 之 后 ， 管 理 任务 得 到 了 简化 ， 并 使 管理 员 能 够 集中 对 应 用 
进行 管理 ， 而 不 需要 关注 它们 的 群集 。 

和 ”改进 的 界面 用 户 界面 基于 任务 设置 ， 其 中 的 向 导 能 够 帮助 管理 员 完成 之 前 复杂 的 操作 ， 使 现在 
的 设置 群集 角色 ， 如 设置 打印 设备 服务 器 角色 等 任务 ， 只 需 几 个 简单 的 步骤 便 可 完成 。 新 的 群集 
管理 工具 能 够 用 于 查看 所 有 的 群集 角色 ， 使 配置 选项 成 为 直观 的 、 基 于 任务 的 菜单 设置 。 

”快速 将 群集 资源 添加 到 配置 ， 改 进 的 群集 管理 界面 也 使 共享 文件 夹具 有 高 可 用 性 等 类 似 的 任务 更 
加 容易 执行 。 

解决 群集 问题 Windows 的 事件 跟踪 功能 取代 了 群集 日 志 ， 使 管理 员 能 够 通过 它 来 轻松 地 搜集 、 管 理 

并 报告 发 生 在 群集 上 的 事件 。 

”使 用 卷 映射 复制 服务 来 获得 备份 :与 卷 映 射 复制 服务 完全 集成 使 备份 及 恢复 群集 的 配置 更 加 
简单 。 

”管理 群集 中 共享 文件 夹 的 查看 ”系统 提供 了 共享 存储 的 查看 , 同时 也 提供 了 对 共享 文件 夹 的 查看 
这 使 用 户 能 够 更 加 轻易 地 了 解 哪些 文件 夹 是 群集 ， 并 可 以 进行 向 另 一 个 节点 的 故障 转移 ， 并 了 解 
哪些 共享 文件 夹 属于 本 地 的 单一 节点 而 不 能 进行 故障 转移 。 

此 外 ，Windows Server 2008 还 支持 针对 故障 转移 群集 的 命令 行 及 Windows 管理 工具 (WMD) 选 项 。 


15.3.4 提高 的 稳定 性 


提高 了 的 稳定 性 与 安全 性 ， 使 可 用 性 提高 。 群 集 与 存储 互动 的 方式 获得 了 改进 ， 因 此 仲裁 资源 不 再 成 
为 单 点 故障 。 

Windows Server 2008 所 具备 的 故障 转移 群集 功能 ， 使 群集 架构 获得 了 改进 并 提高 了 向 用 户 提供 的 服 
务 质量 。 一 个 最 显著 的 改变 便 是 系统 维护 “仲裁 ”的 方式 。 仲 裁 是 确定 哪些 节点 是 活动 节点 ， 哪 些 节点 是 
备用 节点 的 群集 配置 数据 库 。 它 用 于 在 节点 中 断 时 ， 使 一 个 单独 的 节点 提供 所 需 的 应 用 与 服务 。 如 果 群 集 
节点 之 间 失 去 了 互联 ， 则 会 启用 问题 回复 协议 来 避免 裂 脑 (split brain) 的 发 生 。 在 失去 互联 时 ， 节 点 的 资源 
拥有 者 就 会 成 为 群集 以 及 所 有 资源 的 唯一 拥有 者 ， 避 免 了 split brain 的 发 生 。 然 后 这 个 唯一 的 拥有 者 会 将 
所 有 的 资源 为 客户 可 用 。 在 拥有 仲裁 的 节点 发 生 故 障 时 ， 现 存 的 节点 会 对 谁 控制 设备 进行 裁决 。 

故障 转移 群集 的 改进 使 管理 员 能 够 通过 之 前 的 Windows 版 本 所 具备 的 两 种 群集 模式 进行 群集 的 配置 。 

a 。 仲裁 磁盘 模式 :一 个 单独 的 磁盘 作为 决定 允许 哪 部 分 集群 继续 运行 的 “投票 者 ”。 

于” 占 多 数 节点 设置 模型 : 只 有 在 占 多 数 的 节点 是 在 运行 良好 状态 及 互联 时 才 会 使 群集 继续 运行 。 

在 Windows Server 2008 上 ， 这 两 种 模式 的 混合 操作 作为 默认 的 配置 ， 使 两 种 模式 的 优势 都 能 够 得 到 
发 挥 。 例 如 ， 在 双 节点 的 群集 中 ， 即 使 仲裁 磁盘 出 现 故障 而 完全 不 可 用 时 群集 也 能 够 继续 运行 。 管 理 员 无 
须 处 理 复杂 的 仲裁 配置 ， 这 些 都 在 设置 群集 的 过 程 中 得 到 了 自动 配置 。 在 这 种 新 的 混合 模式 下 ， 每 个 节点 
都 有 复制 的 仲裁 资源 ， 因 此 仲裁 磁盘 出 现 的 故障 不 会 导致 群集 出 现 故 障 。 
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15.3.5 “存储 集成 


Windows Server 2008 故障 转移 群集 在 存储 集成 方面 的 改进 使 功能 与 可 靠 性 与 之 前 的 服务 器 群集 版 本 
相 比 有 了 很 大 的 提高 。 主 要 表现 在 : 动态 添加 磁盘 资源 ， 资 源 在 线 时 可 对 资源 的 相关 性 进行 修改 。 

于 数据 存储 的 性 能 与 稳定 性 得 到 了 提高 : Windows Server 2008 采用 了 持久 保留 功能 及 新 的 管理 共 
享 文件 方式 而 获得 了 改进 。 它 不 再 使 用 可 能 造成 SAN 中 断 的 SCSI 总 线 重 设 。Windows Server 
2008 的 故障 转移 群集 使 磁盘 不 再 处 于 不 受 保护 的 状态 ， 意 味 着 卷 受 到 破坏 的 可 能 性 减 小 了 。 故 障 
转移 群集 还 改进 了 对 磁盘 的 查找 和 恢复 ， 并 支持 3 种 类 型 的 存储 连接 : 序列 连接 SCSI(Serial 
Attached SCSI)，SAS 以 及 光纤 通道 。 

”更 轻松 的 磁盘 维护 ， 维 护 模式 得 到 了 许多 改进 ， 管 理 员 可 以 更 加 轻松 地 运行 工具 来 检查 、 修 复 、 
备份 或 恢复 磁盘 ， 同 时 降低 对 群集 造成 的 影响 。 


15.3.6 ”网 络 连接 与 安全 性 


由 于 改进 了 网 络 连接 和 安全 性 能 ， 网 络 运 行 状况 与 安全 性 能 通过 集成 IPv6， 使 用 不 依赖 旧 有 的 
NetBIOS( 网 络 基本 输入 /输出 系统 ) 的 DNS( 域 名 系统 ) 服 务 器 而 获得 了 改进 ， 同 时 其 他 的 网 络 连 接 方面 的 改 
进 也 使 企业 网 络 更 加 稳定 ， 配 置 更 加 安全 。 

Windows Server 2008 的 故障 转移 群集 使 网 络 连接 与 安全 性 能 与 之 前 的 版 本 相 比 获 得 了 提高 ， 具 体 表 
现在 以 下 几 个 方面 。 

”使 用 完全 与 故障 转移 群集 集成 的 IPv6: 故障 转移 群集 完全 支持 IPv6 进行 节点 到 节点 以 及 节点 到 

客户 端的 通信 。 

于 ”使 用 域名 系统 (DNS) 而 不 再 依靠 旧 有 的 NetBIOS: 简化 了 服务 器 信息 块 的 转移 ， 并 意味 着 用 户 不 

再 需要 Windows 互联 网 名 称 服 务 (WINS) 以 及 NetBIOS 名 称 解析 。 
于 “通过 对 网 络 连接 的 其 他 改进 使 可 靠 性 提高 : 管理 员 能 够 使 网 络 名 称 资源 与 多 个 相关 的 全 地址 具备 
关联 性 ,使 下 地 址 可 用 时 ， 网 络 名 称 也 可 用 。 除 此 之 外 ， 在 节点 传输 并 接收 “频率 ”来 确认 每 个 
节点 仍然 可 用 时 ， 使 用 更 加 可 靠 的 传输 控制 协议 (TCP)， 而 不 是 可 靠 性 较 低 的 用 户 数据 图 表 协 议 
(UDP)。 
故障 转移 群集 对 安全 性 能 的 改进 包括 以 下 方面 。 
于 “新 的 安全 模式 : Windows Server 2008 保护 改进 的 安全 模式 ， 其 中 群集 服务 运行 在 LocalSystem 
内 置 账号 的 环境 下 ， 使 安全 性 和 对 账号 密码 的 保护 得 到 增强 。 
”审核 管理 员 可 以 通过 使 用 审核 来 捕捉 关于 读 取 群集 的 用 户 信息 以 及 读 取 时 间 信息 。 
加 密 : Windows Server 2008 运行 管理 员 将 内 部 节点 互 连 设 为 加 密 。 
不 同 全 子 网 上 的 节点 : 群集 中 的 节点 不 再 需要 位 于 同一 个 IP 子 网 ， 因 而 提高 了 灵活 性 。 当 集群 
在 地 理 位 置 上 延伸 而 地 点 变 得 灵活 时 这 个 改进 尤为 重要 。 
总 结 


Windows Server 2008 中 的 故障 转移 群集 为 需要 传输 关键 应 用 与 服务 的 企业 提供 了 简单 易 用 的 解决 方 
案 。 新 的 配置 特征 使 高 可 用 性 的 故障 转移 集群 能 够 更 加 容易 生成 与 配置 ， 新 的 管理 界面 则 通过 统一 的 管理 
故障 转移 群集 接口 减少 了 操作 的 复杂 性 与 费用 。 
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15.4 配置 Windows Server 2008 群集 


1. 实验 目的 


了 解 Windows Server 2008 故障 转移 群集 的 架构 。 

和 ”能够 使 用 Windows Server 2008 连接 iSCSI 网 络 存储 。 

配置 Windows Server 2008 群集 。 

能 够 在 Windows Server 2008 群集 中 安装 SQL Server 2008。 


2. 实验 环境 


图 15-1 所 示 为 实际 企业 环境 中 Windows Server 2008 群集 的 网 络 连接 , 群集 中 的 两 个 节点 通过 单独 的 
光纤 交换 机 连接 到 网 络 存储 设备 。“ 心 跳 网 络 ” 为 群集 之 间 的 专用 网 络 。 


10.7.10.71 


群集 地 址 10.7.10.130 10.7.10.12 


172.16.0.1 172.16.04 = 


172.17.01 


i 


图 15-1 企业 环境 群集 环境 
如 图 15-2 所 示 为 本 章 实验 的 环境 ， 群 集中 的 两 个 节点 将 不 使 用 专门 的 交换 机 和 网 络 存储 服务 器 连接 。 


1071012 


15-2 ”实验 群集 环境 
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DCServer 安装 Windows Server 2008 企业 版 ， 是 Ess.com 域 的 域 控制 器 。 


FileServer 和 Research 服务 器 安装 32 位 Windows Server 2008 企业 版 ， 是 Ess.com 域 的 成 员 ， 将 会 
配置 作为 群集 中 的 两 个 节点 。 


Sales 安装 的 Vista 操作 系统 ， 是 Ess.com 域 中 的 计算 机 。 


3. IP 地 址 配置 
群集 系统 包括 两 套 网 络 ， 一 套 是 对 外 提供 网 络 服务 的 网 络 ， 本 例 中 名 称 为 “网 络 测试 ”的 网 络 ; 一 套 
是 群集 节点 服务 器 之 间 交 互 的 网 络 ， 本 例 中 名 称 为 “心跳 网 络 ”的 网 络 。 心 跳 网 络 全 地 址 设置 时 ， 仅 设置 
IP 地 址 和 子 网 掩 码 即 可 ，DNS 参数 和 默认 网 关 不 需要 设置 。 在 “高 级 TCP/IP 设置 ”对 话 框 中 ， 选 中 “ 禁 


TCP/IP 上 的 NETBIOS” 选项 。 其 他 需要 注意 的 问题 如 下 。 


每 个 节点 服务 器 上 均 拥 有 静态 JP 地 址 ， 服 务 器 群集 不 支持 使 用 由 动态 主机 配置 协议 服务 器 分 配 的 地 


址 。 


每 个 节点 服务 器 至 少 必须 拥有 两 个 网 络 适配器 ， 一 个 用 于 连接 客户 端的 “网 络 测试 ”网 络 ， 另 一 个 用 


于 连接 节点 服务 器 对 节点 服务 器 专用 群集 “心跳 网 络 ” 网 络 。 
所 有 节点 服务 器 都 必须 拥有 两 个 面向 公用 和 专用 通信 的 物理 独立 的 局 域 网 或 虚拟 局 域 网 。 


DCServer 域 控制 器 配置 参数 如 下 。 


卫 地 址 : 10.7.10.122。 

子 网 掩 码 : 255.255.255.0。 
Active Directory 名 称 : Ess.com。 
DNS 服务 器 : 10.7.10.122。 
计算 机 名 称 : DCServer。 


节点 FileServer 服务 器 配置 参数 如 下 。 


下 地 址 : 10.7.10.71。 

子 网 掩 码 : 255.255.255.0。 

连接 心跳 线 网 卡 卫 地 址 : 172.16.0.1。 
子 网 掩 码 : 255.255.0.0。 

Active Directory 名 称 : Ess.com。 
DNS 服务 器 : 10.7.10.122。 
计算 机 名 称 : FileServer。 


节点 Research 服务 器 配置 参数 如 下 。 


耳 地 址 : 10.7.10.12。 

子 网 抢 码 :255.255.255.0。 

连接 心跳 线 网 卡 卫 地 址 : 172.16.0.4。 
子 网 扒 码 : 255.255.0.0。 

Active Directory 名 称 : Ess.com。 
DNS 服务 器 : 10.7.10.122。 
计算 机 名 称 : Research。 


群集 节点 服务 器 配置 参数 如 下 。 
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”IP 地址: 10.7.10.130。 
里 子 网 掩 码 : 255.255.255.0。 
”计算 机 名 称 : ClusterServer。 


15.5 ”安装 和 配置 虚拟 存储 


存储 服务 器 是 部 署 群 集 的 基础 ， 大 多 数 用 户 没 有 专门 的 存储 服务 器 。 下 面 以 虚拟 存储 为 例 ， 介 绍 搭建 
存储 服务 器 的 方法 。 


15.5.1 安装 StarWind 


本 例 中 搭建 存储 服务 器 使 用 StarWind 软件 ， 该 软件 可 以 模拟 iSCSI 存储 服务 。 在 
http://www-.rocketdivision.com/ 网 站 中 下 载 X32 版 本 StarWind 的 软件 。 

Q@ 如 图 15-3 所 示 ， 在 DCServer 上 ， 安 装 StarWind， 运 行 后 启动 安装 向 导 ， 单 击 Next 按钮 。 

@ 如 图 15-4 所 示 , 在 License Agreement 界面 中 , 选中 Taccess the agreement 单 选 按 钮 , 单 击 Next 
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图 15-3 安装 向 导 ( 一 ) 图 15-4 ”安装 向 导 ( 二 ) 


如 图 15-9 所 示 ， 在 出 现 的 Ready to Install 界面 中 ， 显 示 设 置 参数 ， 单 击 Install 按钮 。 
如 图 15-10 所 示 ， 安 装 完成 ， 单 击 Finish 按钮 ， 完 成 StarWind 的 安装 。 


@ 如 图 15-5 所 示 , 在 Select Destination Location 界面 中 , 设置 StarWind 安装 的 目标 文件 夹 ， 使 用 
默认 值 即 可 ， 单 击 Next 按钮 。 

@ 如 图 15-6 所 示 , 在 Select Components 界面 中 , 选择 安装 的 组 件 。 本 例 选 择 完整 安装 ， 单 击 Next 
按钮 。 

回 如 图 15-7 所 示 ， 在 Select Start Menu Folder 界面 中 ， 设 置 启动 菜单 ， 使 用 默认 值 默 认 即 可 。 单 
击 Next 按钮 。 

@ 如 图 15-8 所 示 ， 在 Select Additional Tasks 界面 中 ， 选 中 Create a desktop icon 复 选 框 ， 单 击 
Next 按钮 。 
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图 15-5 选择 安装 路 径 
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图 15-7 选择 开始 菜单 文件 夹 


图 15-8 创建 桌面 图 标 
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图 15-9 安装 向 导 


15-10 ”完成 安装 
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15.5.2 配置 StarWind 


Windows Server 2008 的 故障 转移 群集 ， 需 要 用 到 两 块 磁盘 ， 一 块 磁盘 为 仲裁 磁盘 ， 一 块 磁盘 为 数据 
磁盘 。 下 面 介绍 使 用 StarWind 创建 磁盘 的 方法 。 
Q@@ 如 图 15-11 所 示 , 选择 “开始 ”一 “所 有 程序 ”一 Rocket Division Software 一 StarWind 一 StarWind 
命令 ， 或 单 击 工具 栏 中 的 园 护 饵 ， 显 示 StarWind 窗口 。 
加 如 图 15-12 所 示 ， 右 击 “localhost:3260”， 在 弹出 的 快捷 菜单 中 选择 Connect 命令 。 


Wea ep Hie Sn View Wa Tam ACE wedows nep 
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图 15-11 打开 StarWind 窗口 图 15-12 连接 


图 如 图 15-13 所 示 ， 在 User name 和 Password 文本 框 中 ， 输 入 用 户 名 和 密码 ， 用 户 名 和 密码 均 为 
test， 单 击 OK 按钮 ， 连 接 成 功 。 
@ ”连接 成 功 后 ，“localhost:3260” 以 高 亮度 显示 ， 如 图 15-14 所 示 。 
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图 15-13 输入 账号 和 密码 图 15-14 ”连接 成 功 后 


@ 如 图 15-15 所 示 ， 选 中 “Localhost:3260”， 单 击 Add device 按钮 。 
如 图 15-16 所 示 ， 启 动 设备 增加 向 导 ， 在 Please Select a device type 界面 中 ， 选 择 增加 的 设备 。 
本 例 中 选中 Image File device 单 选 按钮 ， 创 建 一 个 映像 文件 设备 ， 单 击 “ 下 一 步 ”按钮 。 
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图 15-15 添加 设备 图 15-16 选择 设备 类 型 


@@ 如 图 15-17 所 示 , 在 Please select method to add selected device 界面 中 , 提供 加 载 现 有 了 映像 文件 
和 创建 新 映像 文件 选项 。 本 例 中 选中 Create new image 单 选 按钮 ， 单 击 “ 下 一 步 ” 按 钮 。 
如 图 15-18 所 示 ， 在 Specify ImageFile image parameters 对 话 框 中 ， 单 击 三 了 按钮。 


WS DD Bau 


图 15-17 创建 一 个 映像 图 15-18 ”指定 映像 位 置 


@ 如 图 15-19 所 示 ， 在 Open image 对 话 框 中 ,设置 存储 映像 文件 的 目标 文件 夹 ， 以 及 文件 名 称 ， 
单 击 OK 按钮 。 

如 图 15-20 所 示 ， 输 入 image 的 大 小 为 1000， 单 击 “ 下 一 步 ” 按 钮 。 

@@ 如 图 15-21 所 示 ， 在 Please specify Image File device parameters 界面 中 ， 选 中 Allow multiple 
concurrent iSCSI connections(clustering) 复 选 框 ， 允 许多 人 连接 该 设备 。 

四 如 图 15-22 所 示 ， 在 Please specify common device parameters 界面 中 ， 设 置 设备 的 公用 名 称 ， 
单 击 “ 下 一 步 ” 按 钮 。 

四 如 图 15-23 所 示 ， 在 Completing the Add Device Wizard 界面 中 ， 显 示 新 设备 相关 的 参数 ， 单 击 

“下 一 步 ”按钮 。 
四 ”如 图 15-24 所 示 ， 在 Completing the Add Device Wizard 界面 中 ， 完 成 设备 的 创建 。 
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图 15-23 添加 设备 向 导 图 15-24 ”完成 添加 设备 向 导 


名 ”如 图 15-25 所 示 ， 用 同样 的 方法 创建 Data 磁盘 ， 指 定 磁盘 大 小 为 2000 MB。 
@ 创建 完成 的 磁盘 如 图 15-26 所 示 。 
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图 15-25 ”指定 映像 和 大 小 图 15-26 添加 的 两 个 磁盘 


15.5.3 在 节点 FileServer 配置 iSCSI 


群集 服务 中 的 节点 FileServer 服务 器 添加 存储 服务 之 前 ， 需 要 将 节点 FileServer 服务 器 添加 到 Active 
Directory 中 ， 并 以 域 网 络 管理 员 身 份 登录 。 
Q@ 如 图 15-27 所 示 ， 选 择 “ 开 始 ” 一 “控制 面板 ”命令 ， 打 开 “ 控 制 面板 ”窗口 。 
@ ”如 图 15-28 所 示 ， 双 击 “iSCSI 发 起 程序 ”图 标 ， 在 Microsoft iSCSI 对 话 框 中 ， 单 击 “ 是 ”按钮 ， 
启动 并 在 以 后 开机 时 自动 启动 iSCSI 服务 。 
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图 15-27 打开 iSCSI 发 起 程序 图 15-28 启动 iSCSI 服务 
如 图 15-29 所 示 ， 在 Microsoft iSCSI 对 话 框 中 ， 提 示 将 允许 iSCSI 服务 穿 透 防火 墙 ， 单 击 “ 是 ” 
按钮 。 


如 图 15-30 所 示 ， 在 “iSCSI 发 起 程序 属性 ”对 话 框 中 ， 切 换 到 “发 现 ” 选 项 卡 。 

如 图 15-31 所 示 , 单 击 “ 添 加 门户 ”按钮 ,在 出 现 的 “添加 目标 门户 ”对 话 框 中 , 输入 10.7.10.122， 
单 击 “ 确 定 ”按钮 。 

如 图 15-32 所 示 ， 切 换 到 “目标 ”选项 卡 ， 选 中 data， 单 击 “登录 ” 按 钮 ， 在 出 现 的 对 话 框 中 选 
中 “计算 机 启动 时 自动 还 原 此 链接 ” 复 选 框 ， 单 击 “ 确 定 ”按钮 。 
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图 15-31 输入 门户 地 址 和 端口 图 15-32 ”连接 设备 
@ 如 图 15-33 所 示 ， 选 中 quorum， 单 击 “ 登 录 ” 按 钮 ， 在 出 现 的 对 话 框 中 选中 “计算 机 启动 时 自 
动 还 原 此 链接 ” 复 选 框 ， 单 击 “确定 ”按钮 ， 可 以 看 到 两 个 目标 的 状态 为 已 连接 。 单 击 “确定 ” 
按钮 ， 完 成 iSCSI 服务 的 设置 。 
选择 “开始 ”一 “管理 工具 ”一 “服务 器 管理 器 ”命令 ， 打 开 “ 服 务 器 管理 器 ”窗口 ， 如 图 15-34 
所 示 。 展 开 “ 服 务 器 管理 器 (FileServer) ”一 “存储 ”一 “磁盘 管理 ”节点 ， 如 图 所 示 ， 已 经 成 功 
添加 了 两 块 磁盘 。 


图 15-33 ”两 个 设备 均 连接 图 15-34 可 以 看 到 iSCSI 建立 的 磁盘 
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如 图 15-35 所 示 ， 右 击 磁盘 1， 从 弹出 的 快捷 菜单 中 选择 “联机 ”命令 ， 右 击 磁盘 2， 从 弹出 的 快 
捷 菜 单 中 选择 “联机 ”命令 。 
如 图 15-36 所 示 ， 右 击 磁盘 1， 从 弹出 的 快捷 菜单 中 选择 “初始 化 磁盘 ”命令 。 


图 15-35 联机 磁盘 图 15-36 ”初始 化 磁盘 


@ 如 图 15-37 所 示 ， 在 出 现 的 “初始 化 磁盘 ”对 话 框 中 ， 选 中 磁盘 1 和 磁盘 2， 单 击 “ 确 定 ” 按 钮 。 
中 如 图 15-38 所 示 ， 分 区 格式 为 NTFS 格式 ， 磁 盘 分 区 分 别 为 Q 和 S 盘 。 
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图 15-37 ”选择 初始 化 磁盘 图 15-38 格式 化 磁盘 


15.5.4 在 节点 Research 配置 iSCSI 


节点 Research 服务 器 配置 iSCSI 的 方法 与 节点 FileServer 服务 器 的 配置 方法 完全 相同 ,配置 后 的 结果 
如 图 15-39 所 示 。 在 配置 过 程 中 ， 注 意 将 磁盘 分 区 格式 设置 为 NTFS 格式 ， 分 区 类 型 为 “基本 ”。 


© 注意 : 盘 符 一 定 与 节点 FileServer 服务 器 的 盘 符 相同 。 
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图 15-39 连接 iSCSI 设备 


15.6 部 署 群 集 


由 于 本 例 中 使 用 存储 服务 ， 因 此 节点 服务 器 的 开启 及 关闭 不 需要 遵循 以 前 操作 系统 版 本 的 群集 节点 要 
求 ，Windows Server 2008 提供 有 群集 部 署 向 导 ， 可 以 简单 、 快 捷 地 部 署 群 集 。Windows Server 2008 的 
群集 服务 对 DHCP、WINS、IIS 等 基础 服务 提供 支持 。 


15.6.1 配置 心跳 线 网 络 


@ 如 图 15-40 所 示 ， 关 闭 FileServer 和 Research， 单 击 Edit virtual machine settings 选项 。 
@@ 如 图 15-41 所 示 ， 在 出 现 的 Virtual Machine Settings 对 话 框 中 ， 单 击 Add 按钮 。 
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图 15-40 ”添加 设备 图 15-41 添加 网 络 设备 


@ 如 图 15-42 所 示 , 在 出 现 的 Network Type 对 话 框 中 , 选中 Host-only A private network shared 
with the host， 单 击 Finish 按钮 ， 可 以 看 到 添加 了 一 个 网 卡 ， 如 图 15-43 所 示 。 
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图 15-42 选择 网 络 类 型 图 15-43 添加 的 网 卡 


使 用 相同 的 方法 为 Research 添加 一 个 网 卡 。 
启动 计算 机 为 新 添加 的 网 卡 添加 下 地址 ，Research 的 为 172.16.0.4， 子 网 掩 码 为 255.255.0.0， 如 
15-44 所 示 。FileServer 的 为 172.16.0.1， 子 网 掩 码 为 255.255.0.0， 如 图 15-45 所 示 。 


图 15-44 ”设置 心跳 线 IP 地 址 (一 ) 图 15-45 设置 心跳 线 IP 地 址 (二 ) 


15.6.2 ”安装 故障 转移 群集 


在 安装 Windows Server 2008 时 ， 故 障 转移 群集 作为 选 件 安装 ， 需 要 网 络 管理 员 根据 需要 定制 安装 。 
下 面 介绍 故障 转移 群集 的 安装 方法 。 

Q@ 选择 “开始 ”一 “管理 工具 ”一 “服务 器 管理 器 ”命令 ， 显 示 如 图 15-46 所 示 的 “服务 器 管理 器 ” 
窗口 。 单 击 “ 添 加 功能 ”按钮 ， 启 动 添加 功能 向 导 。 

@@ 如 图 15-47 所 示 ， 在 “选择 功能 ”界面 的 “功能 列表 ”中 ， 选 择 “故障 转 移 群 集 ” 选 项 ， 单 击 “ 下 
一 步 ” 按 钮 。 

@ 显示 如 图 15-48 所 示 的 “确认 安装 选择 ”界面 中 ， 单 击 “ 安 装 ”按钮 。 

@ 如 图 15-49 所 示 ， 开 始 安装 故障 转移 群集 。 安 装 完成 后 ， 显 示 “ 安 装 结果 ”界面 ， 单 击 “ 关 闭 ” 
按钮 ， 完 成 故障 转移 群集 的 安装 。 
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图 15-48 ”安装 功能 图 15-49 完成 安装 


回 ”在 节点 Research 安装 故障 转移 群集 。 
如 图 15-50 所 示 , 在 DCServer 上 ,打开 StarWind 软件 , 可 以 看 到 群集 节点 FileServer 和 Research 
服务 器 已 经 连接 到 创建 的 虚拟 磁 栓 中 。 


图 15-50 查看 连接 的 计算 机 
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15.6.3 ”创建 群集 


创建 群集 之 前 ， 所 有 的 节点 服务 器 均 需 要 开启 。 在 任何 一 台 节 点 服务 器 中 ， 都 可 以 部 署 群集 。 创 建 群 
集 的 服务 器 就 是 群集 的 所 有 者 。 
@ 在 节点 FileServer 服务 器 中 ， 选 择 “ 开 始 ” 一 “管理 工具 ”一 “故障 转移 群集 管理 ”命令 ， 显 示 
如 图 15-51 所 示 的 “故障 转移 群集 管理 ”窗口 。 
@ 单 击 “ 创 建 一 个 群集 ” 超 链接 ， 启 动 “ 创 建 群 集 向 导 ”， 显 示 如 图 15-52 所 示 。 


图 15-51 创建 一 个 群集 图 15-52 ”创建 群集 向 导 


图 如 图 15-53 所 示 ， 在 “请 选择 服务 器 或 群集 ”界面 中 ， 输 入 FileServer， 单 击 “ 添 加 ”按钮 ， 输 入 
research， 单 击 “ 添 加 ”按钮 。 单 击 “ 下 一 步 ”按钮 。 

@ 如 图 15-54 所 示 ， 在 “正在 测试 选项 ”界面 中 ， 选 中 “运行 所 有 测试 ” 单 选 按钮 ， 单 击 “ 下 一 步 ” 
按钮 。 


图 15-53 添加 两 个 节点 图 15-54 ”进行 测试 
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图 如 图 15-55 所 示 ， 在 “确认 ”界面 中 ， 单 击 “确认 ”按钮 。 
如 图 15-56 所 示 ， 在 “正在 验证 ”界面 中 ， 开 始 测试 选择 的 节点 服务 器 。 
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图 15-55 确认 图 15-56 验证 


加 ”测试 完成 后 ， 显 示 如 图 15-57 所 示 的 “摘要 ”界面 ， 选 择 的 节点 服务 器 适合 安装 群集 。 单 击 “ 完 
成 ”按钮 ， 关 闭 “ 摘 要” 界面， 返回 到 “创建 群集 向 导 ”。 

如 图 15-58 所 示 ， 在 出 现 的 “用 于 管理 群集 的 访问 点 ”界面 中 ， 在 “群集 名 称 ”文本 框 中 输入 群 
集 的 名 称 ， 在 “地 址 ”文本 框 中 输入 群集 使 用 的 外 地 址 ， 单 击 “ 下 一 步 ”按钮 。 
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图 15-57 ”完成 验证 图 15-58 输入 群集 IP 地 址 


@ 显示 如 图 15-59 所 示 的 “确认 ”界面 。 
@@ 启动 群集 配置 进程 ， 显 示 如 图 15-60 所 示 的 “正在 创建 新 群集 ”界面 。 
@ 配置 完成 后 ， 显 示 如 图 15-61 所 示 的 “摘要 ”界面 ， 显 示 已 经 成 功 创建 群集 。 
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图 15-60 ”正在 创建 新 群集 


图 15-61 完成 群集 创建 


15.6.4 ”验证 群集 配置 


@ 在 FileServer 上 ,打开 故障 转移 群集 管理 工具 ， 如 图 15-62 所 示 ， 单 击 clusterServer.ess.com， 可 
以 看 到 当前 主 服务 器 是 FileServer。 

如 图 15-63 所 示 ， 在 命令 行 下 ， 输 入 ipconfig 可 以 看 到 群集 地 址 10.7.10.130。 

如 图 15-64 所 示 ， 在 FileServer 上 ， 打 开 计 算 机 ， 可 以 看 到 Q 分 区 和 S 分区。 

如 图 15-65 所 示 ， 在 Research 上 ， 打 开 “ 服 务 器 管理 器 ”窗口 ， 单 击 “磁盘 管理 ”选项 ， 可 以 看 
到 磁盘 的 控制 权 不 在 Research 节点 上 。 
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图 15-62 看 到 当前 主 服务 器 
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15-64 ”磁盘 的 控制 权 


测试 故障 转移 


图 15-63 群集 IP 地 址 
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图 15-65 ”控制 权 不 在 该 节点 


以 下 操作 将 会 模拟 FileServer 节点 失败 后 ， 检 测 群集 的 故障 转移 。 
@ 在 FileServer 上 ,打开 故障 转移 群集 管理 工具 ， 如 图 15-66 所 示 ， 右 击 FileServer， 从 弹出 的 快捷 


菜单 中 选择 “更 多 操作 ”一 “ 停 


G@@@ 


-群集 服务 ”命令 。 
如 图 15-67 所 示 ， 在 出 现 的 确认 对 话 框 中 ， 单 击 “ 停 止 FileServer 上 的 群集 服务 ”按钮 。 
如 图 15-68 所 示 ， 可 以 看 到 Research 节点 已 经 接管 了 磁盘 的 控制 权 ， 并 且 能 够 打开 。 

在 命令 行 下 输入 ipconfig， 能 够 看 到 群集 地 址 已 经 绑 定 到 Research 节点 ， 如 图 15-69 所 示 。 
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15.6.6 ”删除 或 添加 群集 节点 


可 以 在 配置 好 的 群集 中 添加 或 删除 节点 ， 操 作 如 下 。 

@ 如 图 15-70 所 示 ， 打 开 故 障 转移 群集 管理 工具 ， 右 击 群 集中 的 节点 Research， 在 弹出 的 快捷 菜单 
中 选择 “更 多 操作 ”一 “退出 ”命令 。 

@@ 如 图 15-71 所 示 ， 在 出 现 的 “请 确认 操作 ”对 话 框 中 ， 单 击 “ 收 回 节点 Research” 按 钮 。 

@ ”如 图 15-72 所 示 ， 退 出 群集 中 最 后 一 个 节点 ， 会 提示 退出 失败 ， 提 示 使 用 命令 删除 群集 。 

@ 如 图 15-73 所 示 ， 在 命令 提示 符 下 ， 输 入 cluster /destroy， 输 入 Y， 确 认 操作 。 

回 ”如 图 15-74 所 示 ， 右 击 节点 ， 在 弹出 的 快捷 菜单 中 选择 “添加 节点 ”命令 ， 向 群集 中 添加 节点 。 
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@ Windows Server 2008 二 二 二 上 二 
@ 如 图 15-75 所 示 ， 在 出 现 的 “开始 之 前 ”界面 中 ， 单 击 “ 下 一 步 ” 按 钮 。 
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图 15-72 退出 节点 失败 图 15-73 ”删除 最 后 一 个 群集 节点 
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15-74 ”添加 节点 15-75 ”添加 节点 向 导 
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@ ”如 图 15-76 所 示 ， 在 出 现 的 “选择 服务 器 ”界面 中 ， 输 入 服务 器 名 ， 单 击 “ 添 加 ”按钮 。 
如 图 15-77 所 示 ， 在 出 现 的 “确认 ”界面 中 ， 单 击 “ 下 一 步 ”按钮 。 


图 15-76 添加 节点 图 15-77 “确认 ”对 话 框 
如 图 15-78 所 示 ， 在 “摘要 ”界面 中 ， 单 击 “ 完 成 ”按钮 。 


图 15-78 添加 节点 成 功 


15.6.7 ”确定 仲裁 磁盘 


如 图 15-79 所 示 ， 单 击 “ 存 储 ” 选 项 ， 可 以 看 到 Q 磁盘 为 “仲裁 中 的 见证 磁盘 ”。 
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图 15-79 确定 仲裁 磁盘 
15.7 ”配置 文件 服务 器 双 节 点 群集 


配置 好 Windows Server 2008 的 故障 转移 群集 后 ， 可 以 配置 应 用 程序 群集 ， 如 图 15-80 所 示 。 以 下 将 
会 在 FileServer 和 Research 节点 安装 文件 服务 角色 。 在 群集 环境 中 配置 文件 服务 器 群集 ， 使 用 网 络 存储 服 
务 器 S 分 区 存储 文件 服务 器 共享 文件 夹 。 

文件 服务 器 群集 名 称 : ClusterServerFS。 

文件 服务 器 群集 了 地 址 : 10.7.10.10。 


图 15-80 文件 服务 器 群集 


15.7.1 安装 文件 服务 角色 


在 FileServer 节点 ， 安 装 文件 服务 角色 。 在 Research 节点 ， 安 装 文件 服务 角色 。 

@ 四 如 图 15-81 所 示 ， 打 开 群 集 节 点 FileServer 的 服务 器 管理 器 ， 单 击 “添加 角色 ”按钮 。 

@ 如 图 15-82 所 示 ， 在 出 现 的 “开始 之 前 ”界面 中 ， 单 击 “ 下 一 步 ” 按 钮 。 

图 如 图 15-83 所 示 ， 在 出 现 的 “选择 服务 器 角色 ”界面 中 ， 选 中 “文件 服务 ” 复 选 框 ， 单 击 “ 下 一 
步 ”按钮 。 

@ ”如 图 15-84 所 示 ， 在 出 现 的 “文件 服务 ”界面 中 ， 单 击 “ 下 一 步 ”按钮 。 
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图 15-83 ”安装 文件 服务 器 角色 图 15-84 文件 服务 角色 介绍 
回 如 图 15-85 所 示 ， 在 出 现 的 “选择 角色 服务 ”界面 中 ， 选 中 “文件 服务 器 ” 复 选 枉 ， 单 击 “下 一 
步 ” 按 钮 。 


如 图 15-86 所 示 ， 在 出 现 的 “确认 安装 选择 ”界面 中 ， 单 击 “ 安 装 ” 按 钮 。 


图 15-85 选择 角色 服务 图 15-86 确认 安装 选择 
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@ 系统 管理 之 首 


@ 完成 文件 服务 器 安装 。 
按照 在 FileServer 上 安装 文件 服务 器 角色 相同 的 步骤 ,在 Research 服务 器 上 安装 文件 服务 器 角色 。 


15.7.2 配置 文件 服务 群集 


在 Windows 群集 配置 好 后 ， 再 配置 文件 服务 器 群集 。 

名 如 图 15-87 所 示 ， 右 击 “ 服 务 和 应 用 程序 ”， 在 弹出 的 快捷 菜单 中 选择 “配置 服务 或 应 用 程序 ” 
命令 。 

@@ 如 图 15-88 所 示 ， 在 出 现 的 向 导 对 话 框 中 ， 单 击 “ 下 一 步 ” 按 钮 。 
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图 15-87 ”配置 服务 器 或 应 用 程序 图 15-88 配置 向 导 


@ 如 图 15-89 所 示 ， 在 “选择 服务 或 应 用 程序 ”界面 中 ， 选 中 “文件 服务 器 ”选项 ， 单 击 “ 下 一 步 ” 
按钮 。 

@ 如 图 15-90 所 示 ， 在 “客户 端 访 问 点 ”界面 中 ， 输 入 名 称 clusterFS 和 群集 地 址 10.7.10.10， 单 击 
“下 一 步 ” 按 钮 。 
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图 15-89 ”选择 文件 服务 器 图 15-90 指定 IP 地 址 和 名 称 


@ 如 图 15-91 所 示 ， 在 “选择 存储 ”界面 中 ， 选 中 “群集 磁盘 1”， 单 击 “ 下 一 步 ”按钮 。 
@ 如 图 15-92 所 示 ， 在 “确认 ”界面 中 ， 单 击 “ 下 一 步 ”按钮 。 
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@ 如 图 15-93 所 示 ， 出 现 “配置 高 可 用 性 ”界面 。 
如 图 15-94 所 示 ， 在 出 现 的 “摘要 ”界面 中 ， 单 击 “ 完 成 ”按钮 。 


图 15-92 “确认 ”对 话 框 


图 15-93 配置 高 可 用 性 图 15-94 ”完成 文件 服务 器 群集 


图 如 图 15-95 所 示 , 可 以 看 到 clusterFS 文件 服务 器 首选 的 节点 以 及 当前 的 所 有 者 ,能 看 到 文件 服务 
器 的 下 地 址 为 10.7.10.10。 


图 15-95 文件 服务 器 群集 
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15.7.3 ”添加 共享 文件 夹 


在 群集 的 文件 服务 器 clusterFS 添加 共享 文件 夹 shareData。 


中 ”如 图 15-96 所 示 ， 在 FileServer 服务 器 上 ， 单 击 “ 添 加 共享 文件 夹 ”按钮 。 
@@ 如 图 15-97 所 示 ， 在 出 现 的 “共享 文件 夹 位 置 ”界面 中 ， 单 击 “浏览 ”按钮 。 


图 15-96 添加 共享 文件 夹 图 15-97 浏览 文件 夹 


图 如 图 15-98 所 示 ， 在 出 现 的 “浏览 文件 夹 ”对 话 框 中 ， 选 中 S$， 单 击 “新 建文 件 夹 ”按钮 ， 输 入 
shareData， 单 击 “ 确 定 ” 按 钮 。 
图 如 图 15-99 所 示 ， 在 “共享 文件 夹 位 置 ”对 话 框 中 ， 单 击 “ 下 一 步 ” 按 钮 。 


图 15-98 创建 文件 图 15-99 确认 共享 目录 


如 图 15-100 所 示 ,在 “NTEFS 权限 ”界面 中 ,选中 “ 否 , 不 更 改 NTFS 权限 ” 单 选 按钮 ， 单 击 “ 下 
一 步 ” 按 钮 。 

如 图 15-101 所 示 ， 在 “共享 协议 ”界面 中 ， 选 中 SMB 复 选 框 ， 共 享 名 输入 shareData， 单 击 “ 下 
一 步 ” 按 钮 。 

如 图 15-102 所 示 ， 在 “SMB 设置 ”界面 中 ， 单 击 “ 下 一 步 ”按钮 。 

如 图 15-103 所 示 ， 在 “SMB 权限 ”界面 中 ， 选 中 “Administrator 具有 完全 控制 权限 ， 所 有 其 他 


©@A ©@ @ 


[558 1 


第 15 章 故障 转移 群集 


用 户 和 组 具有 读 写 访问 权限 ” 单 选 按钮 。 


图 15-102 设置 SMB 图 15-103 设置 SMB 权限 


@ 如 图 15-104 所 示 ， 在 “DFS 命名 空间 发 布 ”界面 中 ， 单 击 “ 下 一 步 ” 按 钮 。 
@ 如 图 15-105 所 示 ， 在 出 现 的 “复查 设置 并 创建 共享 ”界面 中 ， 单 击 “ 创 建 ”按钮 。 


图 15-104 DFS 命名 空间 发 布 图 15-105 复查 设置 
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@ 系统 管理 之 首 


@ 如 图 15-106 所 示 ， 在 “确认 ”界面 中 ， 单 击 “ 完 成 ”按钮 。 


图 15-106 完成 共享 文件 夹 向 导 


15.7.4 ”移动 节点 


@ 如 图 15-107 所 示 ， 右 击 clusterFS， 在 弹出 的 快捷 菜单 中 选择 “将 该 服务 或 应 用 程序 移动 到 另 一 
个 节点 ”一 “移动 到 节点 Research” 命 令 。 

@ 如 图 15-108 所 示 ， 在 出 现 的 “请 确认 操作 ”对 话 框 中 ， 单 击 “ 将 clusterFS 移动 到 Research” 按 
钮 。 
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图 15-107 移动 群集 图 15-108 ”确认 移动 


图 如 图 15-109 所 示 ， 可 以 看 到 在 移动 过 程 中 资源 处 于 脱 机 状态 。 
@ ”如 图 15-110 所 示 ， 启 动 完成 后 可 以 看 到 当前 所 有 者 是 Research 节点 。 
回 ”按照 以 上 步骤 将 clusterFS 移动 到 FileServer。 
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图 15-109 ”移动 过 程 图 15-110 移动 完成 


15.7.5 配置 首选 所 有 者 


可 以 指定 某 个 程序 或 服务 的 首选 所 有 者 以 及 故障 转移 参数 。 

Q@ 如 图 15-111 所 示 ， 右 击 clusterFS， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 。 

加 如 图 15-112 所 示 ， 在 “clusterFS 属性 ”对 话 框 的 “常规 ”选项 卡 中 ， 可 以 指定 首选 所 有 者 或 单 
击 “ 上 移 ”、“ 下 移 ” 按 钮 调整 顺序 。 


图 15-111 配置 属性 图 15-112 确定 首选 的 所 有 者 


图 如 图 15-113 所 示 ， 在 “故障 转移 ”选项 卡 中 ， 如 图 中 所 选 ， 在 6 小 时 内 出 现 两 次 故障 将 会 进行 故 
障 转移 。 如 果 选 中 “允许 故障 回复 ” 单 选 按钮 并 选中 “立即 ” 单 选 按钮 ， 当 首选 的 所 有 者 可 用 时 
将 会 立即 回复 到 首选 节点 。 
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15-113 ”设置 故障 切换 参数 


15.7.6 测试 文件 服务 器 高 可 用 


@ 如 图 15-114 所 示 , 在 Sales 计算 机 上 , 输入 ping clusterFS, 可 以 看 到 能 够 解析 到 10.7.10.10 地 址 。 
回 在 Sales 计算 机 上 ， 选 择 “ 开 始 ” 一 “运行 ”命令 ， 在 出 现 的 “运行 ”对 话 框 中 输入 \ \clusterFS， 


图 15-114 ”ping 文件 服务 器 IP 地址 图 15-115 访问 共享 文件 夹 


图 ”如 图 15-116 所 示 ， 单 击 国 按钮， 关闭 FileServer， 模 拟 FileServer 服务 器 故障 。 
@ 如 图 15-117 所 示 ， 在 Sales 计算 机 上 ， 访 问 clusterFS， 发 现 照 样 可 以 访问 。 
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图 15-116 关闭 一 个 节点 图 15-117 客户 端 照样 可 以 访问 共享 资源 


15.7.7 ”删除 群集 中 的 服务 和 应 用 程序 


可 以 删除 群集 中 的 服务 和 应 用 程序 。 
四 ”如 图 15-118 所 示 ， 右 击 clusterFS， 在 弹出 的 快捷 菜单 中 选择 “删除 ”命令 。 
加 如 图 15-119 所 示 ， 在 出 现 的 “请 删除 操作 ”对 话 框 中 ， 单 击 “ 删 除 clusterFS” 按 钮 。 


图 15-118 ”删除 应 用 图 15-119 确认 删除 
图 如 图 15-120 所 示 ， 可 以 看 到 群集 中 不 存在 任何 服务 和 应 用 程序 。 
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图 15-120 ”删除 应 用 程序 后 
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